Duh, celah di sistem Go-Jek bisa bocorkan data pengguna!

Techno.id - Aplikasi Go-Jek belum lama ini genap berusia satu tahun, tepatnya tanggal 7 Januari 2016. Namun, ada kabar berhembus bahwa aplikasi milik Nadiem Makarim CS itu masih memiliki beberapa celah berbahaya yang dengan sangat mudah bisa dimanfaatkan.

Informasi soal adanya celah di dalam sistem Go-Jek diungkap Yohanes Nugroho, programmer yang mengaku tinggal di Thailand. Ia menemukan celah di dalam sistem Go-Jek melalui aplikasi Android yang dipelajarinya sejak bulan Agustus hingga Desember 2015.

"Saya hanya mempelajari aplikasi Go-Jek versi Android, tapi karena backend-nya sama, maka bug-bug ini berlaku untuk iOS juga. Bug utama Go-Jek adalah: API request tidak menggunakan session, dan berikutnya adalah: tidak ada batasan siapa yang bisa mengupdate data," tulis Yohannes dalam blog Compactbyte.com.

Beberapa celah dalam sistem Go-Jek yang dirangkum oleh Yohanes disebutkan berbahaya karena bisa mengekspos data baik pengguna maupun pengemudi Go-Jek. Celah-celah yang paling penting bagi pengemudi dan pengguna layanan Go-Jek menurut Yohanes antara lain:

1. Siapa pun bisa mencari customer ID berdasarkan nama, telepon, atau email
2. Siapa pun bisa mengubah pulsa driver Go-Jek mana pun
3. Siapa pun bisa melihat data pribadi driver Go-Jek, termasuk foto, alamat, dan bahkan nama ibu kandung
4. Siapa pun bisa mendapatkan nama user, email, no HP user lain
5. Siapa pun bisa mengganti no HP dan nama user lain, tanpa perlu tahu password-nya
6. Siapa pun bisa melihat order history orang lain

"Order history Go-Jek cukup komprehensif: dari mana, ke mana lewat route mana, driver mana yang mengambil penumpang, dsb. Jika pesanannya adalah makanan, maka makanan yang dipesan dan harganya juga bisa dilihat," papar Yohanes yang dikutip tim Techno.id.

Celakanya, penemuan dan uji coba dilakukan Yohanes dalam rangka iseng karena keingintahuannya atas informasi seberapa banyak hal yang dilakukan aplikasi mobile dan berapa banyak yang bisa ditangani server. Ia curiga data di Go-Jek bisa bocor karena menemukan aplikasinya tidak menggunakan session management untuk menandai bahwa yang melakukan request adalah user yang sudah login.

"Dan ternyata memang benar: data pribadi seseorang yang bocor banyak sekali. Ternyata salah seorang rekan saya sudah pernah menemukan ini tapi belum ditindaklanjuti karena pihak Go-Jek masih membuat sistem mereka lebih stabil, dan ternyata bug ini sudah ada cukup lama," jelas Yohannes lagi.

Uji coba yang dilakukan oleh Yohanes pun masih berlanjut. Ia menjajal kekokohan sistem Go-Jek menggunakan URL versi 1 yang dianggap lebih aman untuk melakukan uji coba karena perusahaan milik Nadiem disebutkan telah memakai URL versi 2 dan 3.

Hasil pengujian terakhir yang dilakukan Yohanes membuktikan bahwa sistem Go-Jek bisa diutak-atik oleh siapa pun. Misalnya mengubah jumlah pendapatan pengemudi, informasi pribadi pengemudi hingga mendapatkan informasi detil milik pengguna seperti nama user, email hingga nomor ponsel.

"Siapapun bisa mengganti no HP, email, dan nama user lain, tanpa perlu tahu password-nya. Bug ini masih ada dan sangat parah: kita bisa men-take over user account orang lain," kata Yohanes melalui laman https://blog.compactbyte.com/ miliknya.

Meski begitu, ia mengakui sudah ada beberapa perbaikan yang dilakukan Go-Jek untuk menambal celah yang ada di dalam sistemnya. Sayangnya, proses penambalan yang berlangsung masih belum mampu menutupi semua celah karena banyaknya bug yang ada di sistem Go-Jek.