Heboh, Hacker Indonesia Bocorkan Kelemahan Sistem Keamanan Gojek

Heboh, Hacker Indonesia Bocorkan Kelemahan Sistem Keamanan Gojek

Aplikasi Gojek yang mulai populer diawal tahun 2015 ternyata masih memiliki beberapa kelemahan atau bug gojek dalam sistem keamanannya. Seorang hacker asal Indonesia Yohanes Nugroho yang tinggal di Thailand mempublikasikan beberapa temuan kelemahan tersebut dengan tujuan agar pihak Gojek segera melakukan perbaikan.

Sebelum ia mempubikasikan temuan bug Gojek tersebut sebenarnya ia sudah memberitahukan kepada pihak Gojek sejak bulan Agustus 2015 lalu dan ia diminta oleh pihak Gojek agar tidak mempublikasikan temuannya tersebut sampai tanggal 10 Januari 2016. Bisa jadi oleh sebab inilah pihak Gojek pada dini hari tanggal 11 Januari 2016 melakukan maintenance server aplikasinya mulai pukul 00:00 - 02:30 untuk mengupgrade keamanan sistem Gojek.

Awal kecurigaan terhadap lemahnya keamanan Gojek / bug Gojek
Awal kecurigaan Yohanes Nugroho terhadap lemahnya sistem Gojek ini saat ia mengetahui bahwa aplikasi Gojek tersebut tidak menggunakan session management sehingga user dapat melakukan request walaupun ia tidak login. Hal ini menunjukan bahwa siapa pun akan dapat melakukan order tanpa harus login terlebih dahulu, tentu saja ini aneh dan menimbulkan kecurigaan terhadap keamanan sistem/aplikasi Gojek.

Dengan temuan awalnya ini ia juga sudah menduga bahwa akan ada data yang bocor. Dan benar saja dugaannya tersebut, ada banyak data-data pribadi baik itu data driver maupun data pelanggan yang bocor sehingga sangat mungkin untuk disalahgunakan.

 
hacker gojek, kelemahan aplikasi gojek, bocorkan kelemahan gojek

Apa saja bug Gojek menurut Yohanes Nugroho tersebut?

Bug Gojek yang ditemukan oleh hacker Indonesia tersebut cukup mengejutkan mengingat data-data pribadi para driver dan konsumen dapat bocor dan bisa diakses oleh siapa saja yang memiliki keterampilan untuk menembus keamanan jaringan mengingat masih lemahnya keamanan Gojek.

Bug utama yang ditemukan pada sistem Gojek adalah API request-nya tidak menggunakan session management dan juga tidak adanya batasan user yang boleh merubah/me-update data sehingga siapapun dapat mengubahnya.
Dari kelemahan yang ada tersebut maka sangat memungkinkan sesorang untuk mencari customer ID berdasar nama atau email atau juga nomor telepon sehingga ia bisa mengubah nominal pulsa driver Gojek. Ia juga menjelaskan bahwa dengan kelemahan sistem Gojek yang ia temukan maka siapa saja bisa melihat data-data pribadi driver Gojek dan juga bisa mengubah data-data tersebut tanpa harus mengetahu password nya. Woww sangat berbahaya sekali tentunya jika tidak segera ditingkatkan keamanan sistem Gojek.

History dari orderanpun juga bisa dilihat karena lemahnya aplikasi dan sistem keamanan Gojek ini. Hacker bisa melihat history order, misal history lokasi penjemputan dan tujuan, rute yang dilalui lewat mana, siapa nama driver yang mengantar serta jenis makanan dan harga makanan tersebut (jika itu order makanan). Artinya sistem keamanan yang lemah tersebut memungkinkan informasi yang tersimpan dalam database Gojek tersebut dilihat dan diubah.

Selain data-data driver yang mudah diakses ternyata data-data konsumen pun juga banyak yang bias diakses, misal data alamat, email nomor telepon, data order pelanggan. Tentu saja hal ini bisa membahayakan dan mengganggu kenyamanan pelanggan yang dampaknya bisa menurunkan kepercayaan pelanggan terhadap layanan Gojek.
 
hacker gojek, kelemahan aplikasi gojek, bocorkan kelemahan gojek


Temuan bug Gojek terhadap keamanan sistem Gojek tersebut sebenarnya sudah lama ia temukan namun ia menunda publikasinya mengingat saat itu aplikasi Gojek sedang booming, banyak orang yang suka dengan aplikasi Gojek serta para driver dan penumpang yang diuntungkan dengan sistem referal saat itu. Selain itu ia juga diminta oleh pihak Gojek agar tidak mempublikasikan temuannya tersebut sebelum tanggal 10 Januari 2016.

Setelah sebulan atau dua bulan sejak ia menyampaikan temuannya tersebut ternyata ada pihak yang memanfaatkan bug yang ada untuk mengambil keuntungan.

Mereka menawarkan untuk isi pulsa Gojek dengan harga yang sangat miring dan memungkinkan sesorang untuk memiliki pulsa Gojek yang fantastis. Setelah adanya temuan jual beli pulsa Gojek dengan harga miring tersebut maka pihak Gojek me-disable akun-akun yang memiliki pulsa Gojek diatas sejuta.

Terkait dengan maintenance server Gojek semalam (tanggal 11 Januari 2016 dini hari tadi), mungkin saja ini merupakan bagian proses dari pihak Gojek untuk meningkatkan sistem keamanan Gojek mengingat banyak temuan bug Gojek yang ada dalam aplikasi dan sistem Gojek. Mudah-mudahan keamanan aplikasi /sistem Gojek lebih baik dan makin aman kedepannya.





Subscribe to receive free email updates:

0 Response to "Heboh, Hacker Indonesia Bocorkan Kelemahan Sistem Keamanan Gojek"

Poskan Komentar