JAKARTA I Aplikasi Gojek ternyata memiliki sejumlah cela berbahaya yang bisa dipakai untuk mengubah pulsa driver, atau mengambil informasi pelanggan.
Bug di aplikasi Gojek sejatinya sudah ditemukan cukup lama, yakni sekitar Agustus 2015. Namun Yohanes Nugroho baru mau mempublikasikan temuannya dengan beberapa alasan.
“Karena sudah males mengecek lagi dan karena sudah memberikan kelonggaran seperti yang diminta pihak Gojek, maka tulisan ini saya terbitkan apa adanya (tidak saya cek lagi apakah masih ada bug di versi terbaru),” tulisnya.
Yohanes mengklaim menemukan banyak cela vital yang ada pada aplikasi Gojek, dan secara umum celah itu memungkinkan programmer iseng untuk mencari identitas pengguna Gojek, mengubah pulsa mitranya, dan data pribadi para mitranya itu.
Programmer Indonesia yang kini bermukim di Thailand itu mengaku menemukan celah Gojek tanpa disengaja. Dan jika dilihat dari riwayat tulisannya, pria ini tampaknya memang gemar melakukan pengujian keamanan berbagai aplikasi. Sebelum Gojek ia menulis bug yang ada pada Zozib Messenger.
“Sekadar iseng, ingin tahu seberapa banyak hal yang dilakukan oleh aplikasi mobile, dan seberapa banyak yang ditangani server. Ketika mulai melihat bahwa aplikasi ini tidak menggunakan session management untuk menandai bahwa yang melakukan request adalah user yang sudah login, maka saya mulai curiga bahwa data akan bocor,” jelas Yohanes.
Bug ini sebenarnya sudah disampaikan pada pihak Gojek, sebagian sudah ditangani, namun sebagian lagi sepertinya masih bisa dieksploitasi.
“Ternyata ketika saya coba lagi sebelum posting artikel ini, sebagian besar bug yang ada ternyata belum diperbaiki. Token OAuth disimpan, tapi tidak dipergunakan di semua request berikutnya,” lanjut Yohanes dalam blognya.
Berbagai bug yang ditemukan Yohanes pada aplikasi Gojek tidak hanya berbahaya dari sisi privasi, tapi juga dapat merugikan secara finansial. Oleh sebab itu diharapkan Gojek bisa memperbaikinya secepat mungkin.
Sebelumnya, Gojek mengaku menyewa puluhan program dari India untuk memperkuat layanan mereka, yakni menangani sistem backend untuk mengelola trafik Gojek yang semakin besar. Saat itu Nadiem Makarim mengklaim sudah punya 120 pemrogram yang berada di Jakarta, Yogyakarta, dan Bangalore.
Namun sayangnya, pihak Gojek belum bisa dihubungi untuk memberikan tanggapannya soal temuan bug yang tidak hanya akan merugikan konsumennya itu, tapi juga para mitra usahanya.(cnnindonesia.com)
