Go-Jek Punya Celah Keamanan, Data Pribadi Pengguna Bisa Diretas?

Celah keamanan ini ditemukan oleh perusahaan asal India, Fallible, dengan mendeteksi API endpoint di aplikasi Go-Jek.

oleh Jeko I. R. diperbarui 30 Mar 2017, 08:45 WIB
Diterbitkan 30 Mar 2017, 08:45 WIB
20150814-6-Jajanan-Masa-Kecil
Ceo GO-JEK Indonesia Nadiem Makarim saat jumpa pres perekrutan pengendara Go-Jek di Hall A Basket Senayan, Jakarta, Jumat (14/8/15). Fenomena ojek online dengan aplikasi di hanphone kini banyak diminati. (Liputan6.com/Herman Zakharia)

Liputan6.com, Jakarta - Perusahaan keamanan asal India, Fallible, telah menemukan celah keamanan besar di aplikasi Go-Jek. Fallible adalah perusahaan dengan spesialisasi mendeteksi celah keamanan yang terletak di API (Application Program Interface) endpoint.

Perusahaan mengatakan, jika tidak diamankan dengan baik, API ini dapat menyebabkan kebocoran yang memungkinkan pihak ketiga mengambil data pribadi pengguna. Dalam kasus Go-Jek, Fallible dapat mengambil informasi dari API berdasarkan history perjalanan.

Berbekal dari history ini, mereka bisa mengetahui semua jejak perjalanan pengguna yang bersangkutan, termasuk koordinat GPS dari perjalanan tersebut. Mereka juga menguar kasus ini via blog Hackernoon. Demikian dikutip dari Tech in Asia, Kamis (30/3/2017).


Selain itu, Fallible mengaku telah menemukan kerentanan lain di aplikasi Go-Jek, yang memungkinkan melihat detail pesanan pengguna, bahkan menemukan sebuah cara untuk mengotak-atik notifikasi yang diterima pengguna. Masalah API lainnya juga berpotensi membocorkan data pengguna, seperti nomor telepon, jejak rekam penjemputan, dan pengantaran.

Meski begitu, Go-Jek mengklaim bahwa isu keamanan berisiko tersebut telah diperbaiki. Hal ini disampaikan langsung dari Chief Information Security Go-Jek, Sheran Gunasekera.

Sheran justru menyebutkan isu tersebut sebetulnya tidak terjadi baru-baru ini. Pihaknya telah memperbaiki celah keamanan itu pada Juli 2016 lalu, usai pihak Fallible menghubungi Go-Jek.

Menurut pembelaannya, isu seperti ini dianggap normal dan menjadi pembelajaran bagi perusahaan teknologi seperti Go-Jek. Ia pun tetap menghargai usaha Fallible mencari celah keamanan di aplikasi.

"Saya tidak mengklaim kami (kalangan engineer) di Go-Jek itu sempurna, tapi kami benar-benar berusaha untuk melindungi data pengguna," timpal pria yang sudah berkecimpung di ranah keamanan informasi selama 15 tahun ini.

Menurut Sheran, dokumentasi kasus yang disampaikan Fallible seharusnya bisa lebih baik. "Apa yang disampaikan mereka tidak spesifik. Biasanya, isu keamanan seperti ini kan harus dikaji dengan spesifikasi lebih teknis, mereka juga harus bisa tahu isu yang mana yang masih berlangsung dan mana yang sudah diselesaikan," tandasnya.

Sebagai respon tambahan, Sheran juga menyampaikan Go-Jek kini tengah melakukan program Bug Bounty, yang mana mengundang kalangan hacker untuk mencari celah keamanan di aplikasi Go-Jek. Jika mereka berhasil, Go-Jek akan memberikan imbalan.

Isu keamanan memang menjadi prioritas utama Go-Jek untuk saat ini dan seterusnya. Terlebih, perusahaan yang digawangi Nadiem Makariem tersebut tengah 'berevolusi' menjadi perusahaan yang mencoba berfokus di metode electronic payment.

Contoh saja, Go-Pay, di mana pengguna bisa membayar transaksi secara digital tanpa harus menggunakan uang fisik. Dan baru-baru ini, Go-Jek tengah menguji coba metode transfer kredit Go-Pay dari satu pengguna ke pengguna lain dan menarik saldonya menjadi uang tunai kembali.

(Jek/Cas)

POPULER

Berita Terkini Selengkapnya