Siapa sangka, aplikasi Gojek ternyata menyimpan banyak cela, dan tak perlu menjadi pakar untuk membuktikannya.
Seperti dilansir CNN Indonesia, cela di aplikasi Gojek memungkinkan siapa saja bisa meningtip data pengguna dan mitranya, lengkap dengan riwayat transaksi dan saldo para pemilik akun Gojek.
Bug ini ditemukan oleh programmer Indonesia, Yohanes Nugroho. Kepada CNN Indonesia ia ceritakan beberapa fakta mengenai kelemahan sistem Gojek.
Beberapa kelemahan yang cukup fatal adalah, siapa pun bisa mengubah pendapatan mitra Gojek manapun, ini dilakukan dengan melakukan POST ke https://api.gojek.co.id/gojek/drivers/ dengan data baru yang ingin diganti. Selain pendapatan, informasi lainnya juga bisa diubah. Untungnya bug ini sudah diperbaiki di URL yang baru, walau hingga kini data tersebut masih bisa dilihat.
Informasi lain yang bisa digali dari bug aplikasi Gojek adalah informasi pribadi para driver-nya dengan melakuan GET ke https://api.gojek.co.id/gojek/drivers/ID. Data pribadi bisa dilihat sampai ke nama anak pengendara, dan daftar riwayat order yang sudah diselesaikan.
Kemudian dari sisi pengguna yang merugikan adalah, mudahnya peretas mendapatkan nama user, email, nomer ponsel pengguna. Selain dengan melakukan pencarian dengan kata kunci nama/email, peretas juga bisa melakukan bruteforce sekuensial di alamat URL yang sama.
Dengan bug ini siapa pun bisa mengganti nomer ponsel, email, dan nama user orang lain, tanpa perlu mengetahui passwordnya. Bug ini masih ada dan sangat parah, peretas bisa mengambil alih akun orang lain.
Sebagian besar cara di atas sebenarnya sudah tidak bisa dilakukan karena Gojek sudah melakukan pembenahan, namun tetap saja masih ada bug tersisa yang dibeberkan Yohanes kepada CNN Indonesia, percobaan sederhana pun dilakukan untuk membuktkan.
Aplikasi Gojek Rentan di Retas
4/
5
Oleh
Hilmi
