Sempat Ada Celah di Gojek, Bisa Curi Informasi Pengguna
CNN Indonesia
Kamis, 30 Mar 2017 16:33 WIB
Jakarta, CNN Indonesia -- Perusahaan keamanan asal India, Fallible, memberitahukan berhasil menemukan celah keamanan yang besar pada aplikasi ride sharing Gojek. Beruntung, Gojek langsung bereaksi cepat dengan menutup lubang tersebut.
Seperti dikutip CNNIndonesia.com dari Tech in Asia, klaim penemuan kebocoran ini dipublikasikan melalui sebuah artikel di Hackernoon.
Akibat dari celah tersebut, Fellible bisa mendapatkan riwayat pengguna Gojek seperti koordinat GPS dan titik perjalanan dari satu lokasi ke lokasi lain. Bahkan, mereka mengklaim bisa mendapatkan informasi detail pesananan pengguna.
Masalah keamanan lain dari celah di API aplikasi Gojek itu, mereka menunjukan bisa dengan mengetahui nomor dan informasi lainnya dari pengguna.
Malahan, terkait informasi pesanan para pengguna, Fallible bisa mengetahuinya dari beberapa hari lalu saja.
Kepada Tech in Asia, Chief Information Security Officer Gojek Sheran Gunasekera mengatakan pihaknya telah berhasil menutupi celah tersebut dan mereka akan semakin serius terhadap keamanan dari informasi pengguna.
“Kami tidak menyatakan kalau (Gojek) sempurna. Namun kami sangat serius terhadap keamanan data pengguna kami,” tutur Gunasekera.
Ini kali kedua Gojek mengalami hal serupa. Sekitar awal Januari 2016, programmer Indonesia Yohanes Nugroho menemukan sejumlah cela berbahaya yang bisa dipakai untuk mengubah pulsa driver, atau mengambil informasi pelanggan.
Saat itu, Yohanes mengklaim menemukan banyak cela vital yang ada pada aplikasi Gojek, dan secara umum celah itu memungkinkan programmer iseng untuk mencari identitas pengguna Gojek, mengubah pulsa mitranya, dan data pribadi para mitranya itu.
Programmer Indonesia yang kini bermukim di Thailand itu mengaku menemukan celah Gojek tanpa disengaja. Dan jika dilihat dari riwayat tulisannya, pria ini tampaknya memang gemar melakukan pengujian keamanan berbagai aplikasi. Sebelum Gojek ia menulis bug yang ada pada Zozib Messenger.
“Sekadar iseng, ingin tahu seberapa banyak hal yang dilakukan oleh aplikasi mobile, dan seberapa banyak yang ditangani server. Ketika mulai melihat bahwa aplikasi ini tidak menggunakan session management untuk menandai bahwa yang melakukan request adalah user yang sudah login, maka saya mulai curiga bahwa data akan bocor,” jelas Yohanes.
Kemudian di Bulan Juli, Gojek sempat meminta pengguna untuk mengubah kode sandi alias password pada akun yang mereka gunakan dengan alasan "demi keamanan dan kenyamanan bertransaksi."
Peringatan ini diungkapkan perusahaan lewat pesan singkat (SMS) ke nomor seluler sejumlah pengguna, dan melalui informasi pada aplikasi Gojek.
Seperti dikutip CNNIndonesia.com dari Tech in Asia, klaim penemuan kebocoran ini dipublikasikan melalui sebuah artikel di Hackernoon.
Akibat dari celah tersebut, Fellible bisa mendapatkan riwayat pengguna Gojek seperti koordinat GPS dan titik perjalanan dari satu lokasi ke lokasi lain. Bahkan, mereka mengklaim bisa mendapatkan informasi detail pesananan pengguna.
Masalah keamanan lain dari celah di API aplikasi Gojek itu, mereka menunjukan bisa dengan mengetahui nomor dan informasi lainnya dari pengguna.
ADVERTISEMENT
SCROLL TO CONTINUE WITH CONTENT
 Foto: REUTERS/Darren Whiteside |
Kepada Tech in Asia, Chief Information Security Officer Gojek Sheran Gunasekera mengatakan pihaknya telah berhasil menutupi celah tersebut dan mereka akan semakin serius terhadap keamanan dari informasi pengguna.
“Kami tidak menyatakan kalau (Gojek) sempurna. Namun kami sangat serius terhadap keamanan data pengguna kami,” tutur Gunasekera.
Lihat juga:Gojek Minta Pengguna Ganti Password Akun |
Saat itu, Yohanes mengklaim menemukan banyak cela vital yang ada pada aplikasi Gojek, dan secara umum celah itu memungkinkan programmer iseng untuk mencari identitas pengguna Gojek, mengubah pulsa mitranya, dan data pribadi para mitranya itu.
Programmer Indonesia yang kini bermukim di Thailand itu mengaku menemukan celah Gojek tanpa disengaja. Dan jika dilihat dari riwayat tulisannya, pria ini tampaknya memang gemar melakukan pengujian keamanan berbagai aplikasi. Sebelum Gojek ia menulis bug yang ada pada Zozib Messenger.
Lihat juga:Mudahnya Meretas Aplikasi Gojek |
“Sekadar iseng, ingin tahu seberapa banyak hal yang dilakukan oleh aplikasi mobile, dan seberapa banyak yang ditangani server. Ketika mulai melihat bahwa aplikasi ini tidak menggunakan session management untuk menandai bahwa yang melakukan request adalah user yang sudah login, maka saya mulai curiga bahwa data akan bocor,” jelas Yohanes.
Kemudian di Bulan Juli, Gojek sempat meminta pengguna untuk mengubah kode sandi alias password pada akun yang mereka gunakan dengan alasan "demi keamanan dan kenyamanan bertransaksi."
Peringatan ini diungkapkan perusahaan lewat pesan singkat (SMS) ke nomor seluler sejumlah pengguna, dan melalui informasi pada aplikasi Gojek.
TOPIK TERKAIT
ARTIKEL
TERKAIT
TERKAIT
LAINNYA DI DETIKNETWORK