7/25/2019 Temuan Lubang Menganga Di Go-Jek
1/3
Cerita Yohanes Soal Temuan Lubang Menganga di Go-Jek
Ardhi Suryadhi- detikinethttp://inet.detik.com/read/2016/01/11/094351/3115040/398/cerita-yohanes-soal-temuan-luan!-
men!an!a-di-!o-"ek
Jakarta- #emakin tin!!i pohon$ semakin kencan! pula an!in yan! meniupnya. %eriahasa ini
sepertinya cocok dialamatkan kepada &o-'ek. (a$ pelaku digital lifestylemana yan! tak kenal layanan
o"ek online ini. #ampai-sampai$ popularitas yan! meroket "ustru memuat &o-'ek "adi ikin oran!penasaran untuk men!opreknya.
Nah,latar elakan! inilah yan! memuat seoran! pro!rammer ernama (ohanes )u!roho yan! ten!ah
tin!!al di *hian! +ai$ ,hailand$ ikut penasaran untuk mencari tahu leih lan"ut soal rahasia dapur &o-'ek.
arena tidak isa mencoa lan!sun! &o-'ek di sini saya di *hian! +ai$ ,hailand dan menden!arpopularitas aplikasi &o"ek$ saya penasaran dan melakukan yan! namanya reverse engineeringterhadap
aplikasi !o"ek. ari reverse engineeringkita isa memaca seperti apa kode &o-'ek. i situ sayamenemukan keanehan karena tidak memakaisession$ kata (ohanes saat erkorespondensi den!an
detikINET.
i"elaskan (ohanes$ reverse engineeringadalah proses untuk memon!kar ahan dan teknolo!i yan!
ada pada suatu enda. ran! isa me-reverse engineeraneka macam hal$ misalnya resep masakan atauenda elektronik$ atau pro!ram. ,entunya dalam konteks ini$ yan! dimaksud adalah sotare reverse
engineering$ yaitu proses a!aimana kita isa men!etahui al!oritma pro!ram atausource code-nya
"ika mun!kin.
da anyak hal yan! isa dilakukan den!an reverse engineering.alam kasus 7irus$ kita isa
men!analisis 7irus dan memuat anti yan! tepat. alam kasus proteksi pro!ram$ kita akan isamemon!kar proteksi seperti serial numer danexpiration date.
alam kasus kehilan!ansource code,kita isa men!emalikan sea!ian kode yan! hilan!. 'ika kita
in!in memuat pro!ram yan! isa memaca ormat pro!ram lain$ kita "u!a perlu me-reverse engineer"ika ormat terseut tidak diuka secara umum$ "elas mantan administrator , terseut.
erasaan !imbang
emali soal luan! di aplikasi &o-'ek$ dari hasil reverse engineeringyan! dilakukannya$ ternyata
(ohanes menemukan celah yan! isa dieksploitasi pelaku kriminal pada aplikasi &o-'ek.
ni ukan semaran! luan!$ tetapi sudah terkait keamanan pri7asi pen!!una dan dri7er &o-'ek.
erikut di antaranya seperti dilaporkan (ohanes pada !ustus 2015 lalu:1. #iapapun isa mencari customer erdasarkan telepon atau nama atau email.
2. #iapapun isa men!uah pulsa dri7er !o"ek manapun.
3. #iapapun isa melihat data priadi dri7er !o"ek$ termasuk oto$ alamat$ dan ahkan nama iu
kandun!.4. #iapapun isa mendapatkan nama user$ email$ nomor % user lain.
5. #iapapun isa men!!anti nomor % dan nama user lain$ tanpa perlu tahu passordnya.
7/25/2019 Temuan Lubang Menganga Di Go-Jek
2/3
6. #iapapun isa melihat order history oran! lain.
,emuan ini sendiri sudah dilaporkan oleh (ohanes kepada &o-'ek pada !ustus 2015$ dan perusahaan
yan! dipimpin oleh )adiem +akariem terseut sudah merespons dan meminta aktu untuk peraikan.
Bug ini saya temukan sekitar !ustus 2015. %ihak &o-'ek cukup responsi dalam menan!!api laporansaya$ alaupun ternyata anyak yan! tidak diperaiki hampir 5 ulan kemudian. #aya "u!a dieri
kredit ;p 1 "uta$ yan! saya erikan ke adik saya$ tapi eerapa ulan kemudian sistem &o-'ek eror$ dan
saldonya "adi nol$ un!kap (ohanes.
ni adalah contoh dimana (ohanes melihat aplikasi ini dari sisi isen!$ in!in tahu seerapa anyak hal
yan! dilakukan oleh app moile dan seerapa anyak yan! ditan!ani ser7er. etika mulai melihataha aplikasi ini tidak men!!unakansession managementuntuk menandai aha yan! melakukanrequestadalah user yan! sudahlogin$ maka ia mulai curi!a aha data akan ocor.
an ternyata meman! enar: data priadi seseoran! yan! ocor anyak sekali. ,ernyata salah seoran!rekan saya sudah pernah menemukan ini tapi elum ditindaklan"uti karena pihak &o-'ek masih
memuat sistem mereka leih stail$ dan ternyata bug ini sudah ada cukup lama$ lan"utnya.
(ohanes se"atinya "u!a sempat merasa iman!: apakah seaiknya cepat-cepat memeritahu ke pulik$
aha mun!kin ada oran! yan! mencuri data diri nda terutama puluhan riu dri7er &o-'ek yan! data
len!kapnya !ampan! diakses. tau tun!!u dulu$ lantaran kasihan ini startup aru. alau uru-urudiumumkan$ tapi elum diperaiki$ siapapun isa memuat skrip untuk memporak-porandakan seluruh
data-data user dan dri7er. #epintas sempat terayan! di kepala (ohanes soal kasus pemoolan data di
situs "erselingkuhan Ashley-Madison yang bikin gegerterseut.
#aya sendiri seenarnya akan merasa risih andaikan nama$ nomor telepon$ alamat rumah saya$ alamat
tu"uan saya naik !o"ek isa diakses siapa sa"a di internet. ,api karena saya n!!ak tin!!al di ndonesia$
"adi saya tidak enar-enar merasakan itu$.
khirnya saya memutuskan untuk menun!!u sa"a. #alah satu alasan saya adalah: aktu itu anyak
oran! merasa positi den!an keeradaan &o-'ek$ dan dri7er maupun penumpan! san!at diuntun!kankarena adanya sistem reerral$ tidak seperti eerapa ulan terakhir di mana ada anyak drama$ "elas
(ohanes$ yan! seelum mempostin! laporannya soal u! di &o-'ek "u!a sudah memeritahukan leih
dulu rencana terseut kepada administrator &o-'ek dan mendapat persetu"uan.
(ohanes lupa tepatnya kapan$ akhirnya sistem &o-'ek yan! dilaporkan terseut di!anti$
7/25/2019 Temuan Lubang Menganga Di Go-Jek
3/3
kepada &o-'ek. )amun setelah leih dari lima ulan erselan!$ sayan!nya elum semua luan!
tertutup seluruhnya.
'adi den!an diun!kapnya ke pulik soal isubugini leat lo! yan! seelumnya "u!a sudah diketahuioleh &o-'ek$ dapat leih mendoron! layanan o"ek online terseut untuk se!era memperaiki
layanannya. ?arena sepertinya "ika tidak dipublish$ peraikan akan lamat dilakukan$ dan itur aru
leih diutamakan$ pun!kasnya.
%ihak &o-'ek sendiri sudah coa dikonirmasi oleh timdetikINET#)amun pesan yan! dikirimkan ke
*@ &o-'ek )adiem +akarim elum mendapat tan!!apan sampai erita ini ditulis.
Top Related