Aplikasi Go-Jek Bolong: Data User & Driver Terancam Bocor

Seorang developer Indonesia yang tinggal Thailand melaporkan adanya bug (celah/lubang) di aplikasi Go-Jek. Isu ini sejatinya sudah dilaporkan sejak Agustus 2015 lalu ke Go-Jek, namun ternyata belum semuanya ditambal.

Si pelapor adalah Yohanes Nugroho yang kebetulan adalah seorang praktisi TI Indonesia yang tengah tinggal di Chiang Mai, Thailand. Saat diwawancarai detikINET, Yohanes mengaku lantaran kebocoran ini sempat ia share di wall Facebook untuk menanyakan 'Siapa yang kenal developer Go-Jek, saya menemukan bug?’, beberapa orang lantas sempat kontak Yohanes dan menyatakan bahwa mereka juga menemukan bug yang sama.

"Sampai hari ini sebagian bug masih ada. Bug mengubah data sepertinya sudah diperbaiki, tapi bug yang berhubungan dengan privasi masih ada. Misalnya untuk melihat info seseorang berdasarkan customer id-nya,” ujar Yohanes kepada detikINET, Senin (11/1/2016).

Sebagai buktinya, Yohanes memberikan detikINET sejumlah link yang memang berisi data lengkap dari pengguna dan diriver Go-Jek. Mulai dari nama, nomor telepon, sisa kredit, rekam jejak pemesanan (order history), sampai alamat dan riwayat pendidikan si driver.

Sebelumnya atau pada Agustus 2015 lalu, Yohanes melaporkan adanya celah yang bisa dieksploitasi di aplikasi ojek online buatan Nadiem Makarim yang tengah booming tersebut, dengan harapan bisa langsung ditambal. Namun ternyata sampai awal Januari 2015, bolong di aplikasi tersebut masih ada.

Pasalnya, ini bukan sembarang lubang, tetapi sudah terkait keamanan privasi pengguna dan driver Go-Jek. Berikut hal-hal yang bisa dieksploitasi seperti dilaporkan Yohanes pada bulan Agustus 2015 lalu:

1. Siapapun bisa mencari customer ID berdasarkan telepon atau nama atau email.
2. Siapapun bisa mengubah pulsa driver gojek manapun.
3. Siapapun bisa melihat data pribadi driver gojek, termasuk foto, alamat, dan bahkan nama ibu kandung.
4. Siapapun bisa mendapatkan nama user, email, nomor HP user lain.
5. Siapapun bisa mengganti nomor HP dan nama user lain, tanpa perlu tahu passwordnya.
6. Siapapun bisa melihat order history orang lain.

"Order history Go-Jek cukup komprehensif: dari mana, ke mana lewat rute mana, driver mana yang mengambil penumpang, dsb. Jika pesanannya adalah makanan, maka makanan yang dipesan dan harganya juga bisa dilihat,” kata Yohanes.

"Ini adalah contoh dimana saya melihat aplikasi ini dari sisi iseng: pengen tahu seberapa banyak hal yang dilakukan oleh app mobile, dan seberapa banyak yang ditangani server. Ketika mulai melihat bahwa aplikasi ini tidak menggunakan session management untuk menandai bahwa yang melakukan request adalah user yang sudah login, maka saya mulai curiga bahwa data akan bocor,” lanjutnya.

Dan ternyata memang benar: data pribadi seseorang yang bocor banyak sekali. Ternyata salah seorang rekan Yohanes ternyata juga sudah pernah menemukan bug ini tapi belum ditindaklanjuti karena pihak Go-Jek masih membuat sistem mereka lebih stabil, dan ternyata bug ini sudah ada cukup lama.