Celah Aplikasi GoJek Membuat Pengguna dan Driver Berada dalam Risiko

150824202708_gojek_640x360_bbc

Tidak bisa dipungkiri, GoJek merupakan start up yang sangat populer saat ini. Start up ini diperkirakan memiliki banyak pengguna, baik yang di Android maupuan di iOS. Hal ini dibuktikan dengan banyaknya pengguna yang mendownload aplikasi GoJek di mana di play store saja sudah didownload 5 hingga 10 juta.

Namun baru-baru ini seorang security researcher (bisa dikatakan begitu karea ia sering mencari bugs di aplikasu mobile), yaitu Yohanes Nugroho yang bermukim di Chiang Mai membeberkan banyak celah yang ada di aplikasi GoJek (terutama aplikasi di Android dan kemungkinan besar juga yang di iOS) yang menempatkan pengguna dan driver berada dalam risiko privasi dan keamanan.

Dalam blognya, Yohanes Nugroho menyimpulkan bahwa aplikasi GoJek tersebut membuat pengguna dan driver berada dalam bahaya karena beberapa hal berikut ini:

  1. Siapapun bisa mencari customer ID berdasarkan telepon atau nama atau email.
  2. Siapapun bisa mengubah pulsa driver gojek manapun.
  3. Siapapun bisa melihat data pribadi driver gojek, termasuk foto, alamat, dan bahkan nama ibu kandung.
  4. Siapapun bisa mendapatkan nama user, email, no HP user lain.
  5. Siapapun bisa mengganti no HP dan nama user lain, tanpa perlu tahu passwordnya.
  6. Siapapun bisa melihat order history orang lain

Lebih jauh Yohanes Nugroho memaparkan bahwa aplikasi GoJek tidak menggunakan session management untuk menandai bahwa yang melakukan request adalah user yang sudah login, sehingga kemungkinan kebocoran data sangat besar.

Yohanes mengklaim bahwa data pribadi yang bocor banyak sekali. Ia menceritakan bahwa salah seorang rekannya sudah pernah menemukan hal tersebut, tetapi belum ditindaklanjuti (oleh pihak GoJek) karena pihak GoJek masih membuat sistem mereka lebih stabil. Hal yang lebih mengkhawatirkan adalah ternyata bug tersebut sudah ada cukup lama.

Melihat kebocoran yang mungkin melanda pengguna dan kesigapan GoJek yang dirasa kurang dalam menangani bug yang telah dilaporkan kepada mereka, tentu saja hal ini menempatkan pengguna dalam risiko privasi dan keamanan. Risiko privasi dan keamanan membuat pengguna terlihat oleh siapa saja (karena tidak perlu login) dan apa yang mereka pesan, rute yang mereka tempuh, jumlah pembayaran akan dengan mudah dilihat sehingga bisa menimbulkan risiko kejahatan.

Hal yang perlu lebih diperhatikan bahwa pengguna kini mulai sangat bergantung kepada GoJek. Ketergantungan tersebut akan membuat posisi pengguna dalam kondisi terjepit karena jika menggunakan GoJek mereka akan mengalami risiko privasi dan keamanan, sedangkan bila tidak menggunakan mereka tidak punya pilihan yang setara.

Untuk itulah kiranya pihak GoJek perlu segera menyikapi temuan tersebut. GoJek perlu memastikan bahwa pengguna yang menggunakan aplikasi mereka aman. GoJek perlu segera memperbaiki aplikasi mereka. Jangan karena mentang-mentang disukai dan populer kemudian lalai dalam memberikan perlindungan yang memadai.

Sumber: Amazing Grace

Sumber Foto: BBC