.webp)
Semakin tinggi pohon, semakin kencang pula angin yang meniupnya. Peribahasa ini sepertinya cocok dialamatkan kepada Go-Jek. Ya, pelaku digital lifestyle mana yang tak kenal layanan ojek online ini. Sampai-sampai, popularitas yang meroket justru membuat Go-Jek jadi bikin orang penasaran untuk mengopreknya.
Nah, latar belakang inilah yang membuat seorang programmer bernama Yohanes Nugroho yang tengah tinggal di Chiang Mai, Thailand, ikut penasaran untuk mencari tahu lebih lanjut soal rahasia dapur Go-Jek.
"Karena tidak bisa mencoba langsung Go-Jek di sini (saya di Chiang Mai, Thailand) dan mendengar popularitas aplikasi Gojek, saya penasaran dan melakukan yang namanya reverse engineering terhadap aplikasi gojek. Dari reverse engineering kita bisa membaca seperti apa kode Go-Jek. Di situ saya menemukan keanehan karena tidak memakai session,β kata Yohanes saat berkorespondensi dengan detikINET.
Dijelaskan Yohanes, reverse engineering adalah proses untuk membongkar bahan dan teknologi yang ada pada suatu benda. Orang bisa me-reverse engineer aneka macam hal, misalnya resep masakan atau benda elektronik, atau program. Tentunya dalam konteks ini, yang dimaksud adalah software reverse engineering, yaitu proses bagaimana kita bisa mengetahui algoritma program (atau source code-nya jika mungkin).
SCROLL TO CONTINUE WITH CONTENT
"Dalam kasus kehilangan source code, kita bisa mengembalikan sebagian kode yang hilang. Jika kita ingin membuat program yang bisa membaca format program lain, kita juga perlu me-reverse engineer jika format tersebut tidak dibuka secara umum,β jelas mantan administrator ITB tersebut.
Perasaan Bimbang
Kembali soal lubang di aplikasi Go-Jek, dari hasil reverse engineering yang dilakukannya, ternyata Yohanes menemukan celah yang bisa dieksploitasi pelaku kriminal pada aplikasi Go-Jek.
Ini bukan sembarang lubang, tetapi sudah terkait keamanan privasi pengguna dan driver Go-Jek. Berikut di antaranya seperti dilaporkan Yohanes pada Agustus 2015 lalu:
1. Siapapun bisa mencari customer ID berdasarkan telepon atau nama atau email.
2. Siapapun bisa mengubah pulsa driver gojek manapun.
3. Siapapun bisa melihat data pribadi driver gojek, termasuk foto, alamat, dan bahkan nama ibu kandung.
4. Siapapun bisa mendapatkan nama user, email, nomor HP user lain.
5. Siapapun bisa mengganti nomor HP dan nama user lain, tanpa perlu tahu passwordnya.
6. Siapapun bisa melihat order history orang lain.
Temuan ini sendiri sudah dilaporkan oleh Yohanes kepada Go-Jek pada Agustus 2015, dan perusahaan yang dipimpin oleh Nadiem Makariem tersebut sudah merespons dan meminta waktu untuk perbaikan.
"Bug ini saya temukan sekitar Agustus 2015. Pihak Go-Jek cukup responsif dalam menanggapi laporan saya, walaupun ternyata banyak yang tidak diperbaiki hampir 5 bulan kemudian. Saya juga diberi kredit Rp 1 juta, yang saya berikan ke adik saya, tapi beberapa bulan kemudian sistem Go-Jek eror, dan saldonya jadi nol,β ungkap Yohanes.
Ini adalah contoh dimana Yohanes melihat aplikasi ini dari sisi iseng, ingin tahu seberapa banyak hal yang dilakukan oleh app mobile dan seberapa banyak yang ditangani server. Ketika mulai melihat bahwa aplikasi ini tidak menggunakan session management untuk menandai bahwa yang melakukan request adalah user yang sudah login, maka ia mulai curiga bahwa data akan bocor.
"Dan ternyata memang benar: data pribadi seseorang yang bocor banyak sekali. Ternyata salah seorang rekan saya sudah pernah menemukan ini tapi belum ditindaklanjuti karena pihak Go-Jek masih membuat sistem mereka lebih stabil, dan ternyata bug ini sudah ada cukup lama,β lanjutnya.
Yohanes sejatinya juga sempat merasa bimbang: apakah sebaiknya cepat-cepat memberitahu ke publik, bahwa mungkin ada orang yang mencuri data diri Anda (terutama puluhan ribu driver Go-Jek yang data lengkapnya gampang diakses). Atau tunggu dulu, lantaran kasihan ini startup baru. Kalau buru-buru diumumkan, tapi belum diperbaiki, siapapun bisa membuat skrip untuk memporak-porandakan seluruh data-data user dan driver. Sepintas sempat terbayang di kepala Yohanes soal kasus pembobolan data di situs perselingkuhan Ashley-Madison yang bikin geger tersebut.
"Saya sendiri sebenarnya akan merasa risih andaikan nama, nomor telepon, alamat rumah saya, alamat tujuan saya naik gojek bisa diakses siapa saja di internet. Tapi karena saya nggak tinggal di Indonesia, jadi saya tidak benar-benar merasakan itu,".
"Akhirnya saya memutuskan untuk menunggu saja. Salah satu alasan saya adalah: waktu itu banyak orang merasa positif dengan keberadaan Go-Jek, dan driver maupun penumpang sangat diuntungkan (karena adanya sistem referral), tidak seperti beberapa bulan terakhir di mana ada banyak drama,β jelas Yohanes, yang sebelum memposting laporannya soal bug di Go-Jek juga sudah memberitahukan lebih dulu rencana tersebut kepada administrator Go-Jek dan mendapat persetujuan.
Yohanes lupa tepatnya kapan, akhirnya sistem Go-Jek yang dilaporkan tersebut diganti, URL yang ada banyak yang dipindah ke /v2/. OAuth juga ditambahkan. Setelah titik ini, Yohanes belum memeriksa lagi apakah ada bug baru. Ia mengasumsikan Go-Jek sudah menyewa penguji sistem untuk memastikan bahwa kali ini semua baik-baik saja.
"Ternyata ketika saya coba lagi sebelum posting artikel ini, sebagian besar bug yang ada ternyata belum diperbaiki. Token OAuth disimpan, tapi tidak dipergunakan di semua request berikutnya. Bug seperti ini juga menunjukkan betapa pentingnya security di startup Anda: Andaikan ada orang yang iseng/jahat/iri, startup Anda sudah bisa gulung tikar dengan kebobolan seperti ini,β tegasnya.
Akhir kata, Yohanes menekankan bahwa apa yang dilakukannya bukan untuk ajang mencari panggung. Sebab, berbulan-bulan sebelumnya, ia sejatinya sudah memberitahukan soal lubang keamanan tersebut kepada Go-Jek. Namun setelah lebih dari lima bulan berselang, sayangnya belum semua lubang tertutup seluruhnya.
Jadi dengan diungkapnya ke publik soal isu bug ini lewat blog yang sebelumnya juga sudah diketahui oleh Go-Jek, dapat lebih mendorong layanan ojek online tersebut untuk segera memperbaiki layanannya. βKarena sepertinya jika tidak dipublish, perbaikan akan lambat dilakukan, dan fitur baru lebih diutamakan,β pungkasnya.
Pihak Go-Jek sendiri sudah coba dikonfirmasi oleh tim detikINET. Namun pesan yang dikirimkan ke CEO Go-Jek Nadiem Makarim belum mendapat tanggapan sampai berita ini ditulis.
(ash/fyk)
