Nemu Celah Keamanan di Produk GoTo Bisa Dapat Rp 74 Juta

Salah satu cara GoTo Group memperkuat sistem keamanannya adalah dengan mengadakan program bug bounty, dengan bayaran terbesar mencapai USD 5.000 atau sekitar Rp 74 juta.

Program bug bounty ini terbuka untuk semua ekosistem GoTo yang mencakup Gojek, Tokopedia, dan GoTo Financial. Hal ini mereka lakukan untuk membantu identifikasi kerentanan pada server, aplikasi, situs, dan layanan backend perusahaan.

Lewat program bug bounty ini, para hacker baik (white hat) dipersilakan menguji sistem GoTo. Jika mereka menemukan ada celah akan mendapat hadiah uang yang bervariasi, dari mulai USD 50 (sekitar Rp 800 ribu) sampai USD 5.000 (sekitar Rp 74 juta).

"Kita ingin mendapatkan masukan dari pihak independen atau dari researcher dari luar ekosistem GoTo," kata Setiawan Hermanto, AVP Security Strategy & Planning, Information Security di GoTo, dalam sesi diskusi dengan media, Senin (3/4/2023) di Jakarta malam.

"Setiap ada laporan yang masuk akan diverifikasi, dan jika terbukti benar akan diberikan reward. Lalu laporan tersebut dipelajari agar tidak terjadi lagi ke depannya," tambahnya.

Diskusi tersebut juga dihadiri oleh Leny Suwardi, SVP Group Head Data Protection and Privacy Office (DPPO). DDPO ini memegang peranan penting untuk menjaga tata kelola dan pemrosesan data pribadi agar dapat dilaksanakan sesuai dengan ketentuan yang berlaku.

Ketentuan yang berlaku ini kaitannya dengan UU Perlindungan Data Pribadi (PDP) yang sudah disahkan tahun 2022 lalu. Leny membanggakan kalau GoTo sudah lebih dulu menyiapkan tata kelola data pribadi ini sejak UU PDP masih berbentuk RUU.

Dan saat ini, ekosistem GoTo sudah mendapat sertifikasi ISO 27701 mengenai Privacy Information Management System (PIMS), yang merupakan perluasan dari ruang lingkup standar keamanan informasi pada ISO 27001.

"Kami sudah menyiapkan sejak 2021 untuk ISO 27701, saat itu masih minim organisasi di Indonesia yang punya sertifikasi itu. GoTo menjadi organisasi kedua yang punya sertifikasi itu," jelas Leny.