Cerita Yohanes Soal Temuan Lubang Menganga di Go-Jek

Ardhi Suryadhi - detikinet

http://inet.detik.com/read/2016/01/11/094351/3115040/398/cerita-yohanes-soal-temuan-lubangmenganga-di-go-jek
Jakarta - Semakin tinggi pohon, semakin kencang pula angin yang meniupnya. Peribahasa ini
sepertinya cocok dialamatkan kepada Go-Jek. Ya, pelaku digital lifestyle mana yang tak kenal layanan
ojek online ini. Sampai-sampai, popularitas yang meroket justru membuat Go-Jek jadi bikin orang
penasaran untuk mengopreknya.
Nah, latar belakang inilah yang membuat seorang programmer bernama Yohanes Nugroho yang tengah
tinggal di Chiang Mai, Thailand, ikut penasaran untuk mencari tahu lebih lanjut soal rahasia dapur GoJek.
"Karena tidak bisa mencoba langsung Go-Jek di sini (saya di Chiang Mai, Thailand) dan mendengar
popularitas aplikasi Gojek, saya penasaran dan melakukan yang namanya reverse engineering terhadap
aplikasi gojek. Dari reverse engineering kita bisa membaca seperti apa kode Go-Jek. Di situ saya
menemukan keanehan karena tidak memakai session, kata Yohanes saat berkorespondensi dengan
detikINET.
Dijelaskan Yohanes, reverse engineering adalah proses untuk membongkar bahan dan teknologi yang
ada pada suatu benda. Orang bisa me-reverse engineer aneka macam hal, misalnya resep masakan atau
benda elektronik, atau program. Tentunya dalam konteks ini, yang dimaksud adalah software reverse
engineering, yaitu proses bagaimana kita bisa mengetahui algoritma program (atau source code-nya
jika mungkin).
Ada banyak hal yang bisa dilakukan dengan reverse engineering. Dalam kasus virus, kita bisa
menganalisis virus dan membuat anti yang tepat. Dalam kasus proteksi program, kita akan bisa
membongkar proteksi seperti serial number dan expiration date.
"Dalam kasus kehilangan source code, kita bisa mengembalikan sebagian kode yang hilang. Jika kita
ingin membuat program yang bisa membaca format program lain, kita juga perlu me-reverse engineer
jika format tersebut tidak dibuka secara umum, jelas mantan administrator ITB tersebut.
Perasaan Bimbang
Kembali soal lubang di aplikasi Go-Jek, dari hasil reverse engineering yang dilakukannya, ternyata
Yohanes menemukan celah yang bisa dieksploitasi pelaku kriminal pada aplikasi Go-Jek.
Ini bukan sembarang lubang, tetapi sudah terkait keamanan privasi pengguna dan driver Go-Jek.
Berikut di antaranya seperti dilaporkan Yohanes pada Agustus 2015 lalu:
1. Siapapun bisa mencari customer ID berdasarkan telepon atau nama atau email.
2. Siapapun bisa mengubah pulsa driver gojek manapun.
3. Siapapun bisa melihat data pribadi driver gojek, termasuk foto, alamat, dan bahkan nama ibu
kandung.
4. Siapapun bisa mendapatkan nama user, email, nomor HP user lain.
5. Siapapun bisa mengganti nomor HP dan nama user lain, tanpa perlu tahu passwordnya.

6. Siapapun bisa melihat order history orang lain.

Temuan ini sendiri sudah dilaporkan oleh Yohanes kepada Go-Jek pada Agustus 2015, dan perusahaan
yang dipimpin oleh Nadiem Makariem tersebut sudah merespons dan meminta waktu untuk perbaikan.
"Bug ini saya temukan sekitar Agustus 2015. Pihak Go-Jek cukup responsif dalam menanggapi laporan
saya, walaupun ternyata banyak yang tidak diperbaiki hampir 5 bulan kemudian. Saya juga diberi
kredit Rp 1 juta, yang saya berikan ke adik saya, tapi beberapa bulan kemudian sistem Go-Jek eror, dan
saldonya jadi nol, ungkap Yohanes.
Ini adalah contoh dimana Yohanes melihat aplikasi ini dari sisi iseng, ingin tahu seberapa banyak hal
yang dilakukan oleh app mobile dan seberapa banyak yang ditangani server. Ketika mulai melihat
bahwa aplikasi ini tidak menggunakan session management untuk menandai bahwa yang melakukan
request adalah user yang sudah login, maka ia mulai curiga bahwa data akan bocor.
"Dan ternyata memang benar: data pribadi seseorang yang bocor banyak sekali. Ternyata salah seorang
rekan saya sudah pernah menemukan ini tapi belum ditindaklanjuti karena pihak Go-Jek masih
membuat sistem mereka lebih stabil, dan ternyata bug ini sudah ada cukup lama, lanjutnya.
Yohanes sejatinya juga sempat merasa bimbang: apakah sebaiknya cepat-cepat memberitahu ke publik,
bahwa mungkin ada orang yang mencuri data diri Anda (terutama puluhan ribu driver Go-Jek yang data
lengkapnya gampang diakses). Atau tunggu dulu, lantaran kasihan ini startup baru. Kalau buru-buru
diumumkan, tapi belum diperbaiki, siapapun bisa membuat skrip untuk memporak-porandakan seluruh
data-data user dan driver. Sepintas sempat terbayang di kepala Yohanes soal kasus pembobolan data di
situs perselingkuhan Ashley-Madison yang bikin geger tersebut.
"Saya sendiri sebenarnya akan merasa risih andaikan nama, nomor telepon, alamat rumah saya, alamat
tujuan saya naik gojek bisa diakses siapa saja di internet. Tapi karena saya nggak tinggal di Indonesia,
jadi saya tidak benar-benar merasakan itu,".
"Akhirnya saya memutuskan untuk menunggu saja. Salah satu alasan saya adalah: waktu itu banyak
orang merasa positif dengan keberadaan Go-Jek, dan driver maupun penumpang sangat diuntungkan
(karena adanya sistem referral), tidak seperti beberapa bulan terakhir di mana ada banyak drama, jelas
Yohanes, yang sebelum memposting laporannya soal bug di Go-Jek juga sudah memberitahukan lebih
dulu rencana tersebut kepada administrator Go-Jek dan mendapat persetujuan.
Yohanes lupa tepatnya kapan, akhirnya sistem Go-Jek yang dilaporkan tersebut diganti, URL yang ada
banyak yang dipindah ke /v2/. OAuth juga ditambahkan. Setelah titik ini, Yohanes belum memeriksa
lagi apakah ada bug baru. Ia mengasumsikan Go-Jek sudah menyewa penguji sistem untuk memastikan
bahwa kali ini semua baik-baik saja.
"Ternyata ketika saya coba lagi sebelum posting artikel ini, sebagian besar bug yang ada ternyata belum
diperbaiki. Token OAuth disimpan, tapi tidak dipergunakan di semua request berikutnya. Bug seperti
ini juga menunjukkan betapa pentingnya security di startup Anda: Andaikan ada orang yang
iseng/jahat/iri, startup Anda sudah bisa gulung tikar dengan kebobolan seperti ini, tegasnya.
Akhir kata, Yohanes menekankan bahwa apa yang dilakukannya bukan untuk ajang mencari panggung.
Sebab, berbulan-bulan sebelumnya, ia sejatinya sudah memberitahukan soal lubang keamanan tersebut

kepada Go-Jek. Namun setelah lebih dari lima bulan berselang, sayangnya belum semua lubang
tertutup seluruhnya.
Jadi dengan diungkapnya ke publik soal isu bug ini lewat blog yang sebelumnya juga sudah diketahui
oleh Go-Jek, dapat lebih mendorong layanan ojek online tersebut untuk segera memperbaiki
layanannya. Karena sepertinya jika tidak dipublish, perbaikan akan lambat dilakukan, dan fitur baru
lebih diutamakan, pungkasnya.
Pihak Go-Jek sendiri sudah coba dikonfirmasi oleh tim detikINET. Namun pesan yang dikirimkan ke
CEO Go-Jek Nadiem Makarim belum mendapat tanggapan sampai berita ini ditulis.