7/25/2019 Temuan Lubang Menganga Di Go-Jek

1/3

Cerita Yohanes Soal Temuan Lubang Menganga di Go-Jek

Ardhi Suryadhi- detikinethttp://inet.detik.com/read/2016/01/11/094351/3115040/398/cerita-yohanes-soal-temuan-luan!-

men!an!a-di-!o-"ek

Jakarta- #emakin tin!!i pohon$ semakin kencan! pula an!in yan! meniupnya. %eriahasa ini

sepertinya cocok dialamatkan kepada &o-'ek. (a$ pelaku digital lifestylemana yan! tak kenal layanan

o"ek online ini. #ampai-sampai$ popularitas yan! meroket "ustru memuat &o-'ek "adi ikin oran!penasaran untuk men!opreknya.

Nah,latar elakan! inilah yan! memuat seoran! pro!rammer ernama (ohanes )u!roho yan! ten!ah

tin!!al di *hian! +ai$ ,hailand$ ikut penasaran untuk mencari tahu leih lan"ut soal rahasia dapur &o-'ek.

arena tidak isa mencoa lan!sun! &o-'ek di sini saya di *hian! +ai$ ,hailand dan menden!arpopularitas aplikasi &o"ek$ saya penasaran dan melakukan yan! namanya reverse engineeringterhadap

aplikasi !o"ek. ari reverse engineeringkita isa memaca seperti apa kode &o-'ek. i situ sayamenemukan keanehan karena tidak memakaisession$ kata (ohanes saat erkorespondensi den!an

detikINET.

i"elaskan (ohanes$ reverse engineeringadalah proses untuk memon!kar ahan dan teknolo!i yan!

ada pada suatu enda. ran! isa me-reverse engineeraneka macam hal$ misalnya resep masakan atauenda elektronik$ atau pro!ram. ,entunya dalam konteks ini$ yan! dimaksud adalah sotare reverse

engineering$ yaitu proses a!aimana kita isa men!etahui al!oritma pro!ram atausource code-nya

"ika mun!kin.

da anyak hal yan! isa dilakukan den!an reverse engineering.alam kasus 7irus$ kita isa

men!analisis 7irus dan memuat anti yan! tepat. alam kasus proteksi pro!ram$ kita akan isamemon!kar proteksi seperti serial numer danexpiration date.

alam kasus kehilan!ansource code,kita isa men!emalikan sea!ian kode yan! hilan!. 'ika kita

in!in memuat pro!ram yan! isa memaca ormat pro!ram lain$ kita "u!a perlu me-reverse engineer"ika ormat terseut tidak diuka secara umum$ "elas mantan administrator , terseut.

erasaan !imbang

emali soal luan! di aplikasi &o-'ek$ dari hasil reverse engineeringyan! dilakukannya$ ternyata

(ohanes menemukan celah yan! isa dieksploitasi pelaku kriminal pada aplikasi &o-'ek.

ni ukan semaran! luan!$ tetapi sudah terkait keamanan pri7asi pen!!una dan dri7er &o-'ek.

erikut di antaranya seperti dilaporkan (ohanes pada !ustus 2015 lalu:1. #iapapun isa mencari customer erdasarkan telepon atau nama atau email.

2. #iapapun isa men!uah pulsa dri7er !o"ek manapun.

3. #iapapun isa melihat data priadi dri7er !o"ek$ termasuk oto$ alamat$ dan ahkan nama iu

kandun!.4. #iapapun isa mendapatkan nama user$ email$ nomor % user lain.

5. #iapapun isa men!!anti nomor % dan nama user lain$ tanpa perlu tahu passordnya.

7/25/2019 Temuan Lubang Menganga Di Go-Jek

2/3

6. #iapapun isa melihat order history oran! lain.

,emuan ini sendiri sudah dilaporkan oleh (ohanes kepada &o-'ek pada !ustus 2015$ dan perusahaan

yan! dipimpin oleh )adiem +akariem terseut sudah merespons dan meminta aktu untuk peraikan.

Bug ini saya temukan sekitar !ustus 2015. %ihak &o-'ek cukup responsi dalam menan!!api laporansaya$ alaupun ternyata anyak yan! tidak diperaiki hampir 5 ulan kemudian. #aya "u!a dieri

kredit ;p 1 "uta$ yan! saya erikan ke adik saya$ tapi eerapa ulan kemudian sistem &o-'ek eror$ dan

saldonya "adi nol$ un!kap (ohanes.

ni adalah contoh dimana (ohanes melihat aplikasi ini dari sisi isen!$ in!in tahu seerapa anyak hal

yan! dilakukan oleh app moile dan seerapa anyak yan! ditan!ani ser7er. etika mulai melihataha aplikasi ini tidak men!!unakansession managementuntuk menandai aha yan! melakukanrequestadalah user yan! sudahlogin$ maka ia mulai curi!a aha data akan ocor.

an ternyata meman! enar: data priadi seseoran! yan! ocor anyak sekali. ,ernyata salah seoran!rekan saya sudah pernah menemukan ini tapi elum ditindaklan"uti karena pihak &o-'ek masih

memuat sistem mereka leih stail$ dan ternyata bug ini sudah ada cukup lama$ lan"utnya.

(ohanes se"atinya "u!a sempat merasa iman!: apakah seaiknya cepat-cepat memeritahu ke pulik$

aha mun!kin ada oran! yan! mencuri data diri nda terutama puluhan riu dri7er &o-'ek yan! data

len!kapnya !ampan! diakses. tau tun!!u dulu$ lantaran kasihan ini startup aru. alau uru-urudiumumkan$ tapi elum diperaiki$ siapapun isa memuat skrip untuk memporak-porandakan seluruh

data-data user dan dri7er. #epintas sempat terayan! di kepala (ohanes soal kasus pemoolan data di

situs "erselingkuhan Ashley-Madison yang bikin gegerterseut.

#aya sendiri seenarnya akan merasa risih andaikan nama$ nomor telepon$ alamat rumah saya$ alamat

tu"uan saya naik !o"ek isa diakses siapa sa"a di internet. ,api karena saya n!!ak tin!!al di ndonesia$

"adi saya tidak enar-enar merasakan itu$.

khirnya saya memutuskan untuk menun!!u sa"a. #alah satu alasan saya adalah: aktu itu anyak

oran! merasa positi den!an keeradaan &o-'ek$ dan dri7er maupun penumpan! san!at diuntun!kankarena adanya sistem reerral$ tidak seperti eerapa ulan terakhir di mana ada anyak drama$ "elas

(ohanes$ yan! seelum mempostin! laporannya soal u! di &o-'ek "u!a sudah memeritahukan leih

dulu rencana terseut kepada administrator &o-'ek dan mendapat persetu"uan.

(ohanes lupa tepatnya kapan$ akhirnya sistem &o-'ek yan! dilaporkan terseut di!anti$

7/25/2019 Temuan Lubang Menganga Di Go-Jek

3/3

kepada &o-'ek. )amun setelah leih dari lima ulan erselan!$ sayan!nya elum semua luan!

tertutup seluruhnya.

'adi den!an diun!kapnya ke pulik soal isubugini leat lo! yan! seelumnya "u!a sudah diketahuioleh &o-'ek$ dapat leih mendoron! layanan o"ek online terseut untuk se!era memperaiki

layanannya. ?arena sepertinya "ika tidak dipublish$ peraikan akan lamat dilakukan$ dan itur aru

leih diutamakan$ pun!kasnya.

%ihak &o-'ek sendiri sudah coa dikonirmasi oleh timdetikINET#)amun pesan yan! dikirimkan ke

*@ &o-'ek )adiem +akarim elum mendapat tan!!apan sampai erita ini ditulis.