Kebocoran Celah Keamanan, GO-JEK Klaim Semua Baik-Baik Saja

HarianBernas.com – Fallible, pada tanggal 24 Maret 2017 yang lalu, perusahaan keamanan digital asal India mengklaim kalau mereka telah berhasil menemukan celah keamanan besar yang terdapat pada aplikasi transportasi on-deman GO-JEK. Hal tersebut disampaikan mereka dalam sebuah artikel di Hackernoon.

Fallible sendiri merupakan sebuah perusahaan yang memiliki tugas khusus yaitu berfokus untuk mendeteksi celah keamanan pada API end point. API end point sendiri merupakan sebuah interface yang digunakan perusahaan teknologo supaya data yang mereka miliki dapat digunakan oleh perusahaan lain. Apabila ini tidak dilindungi dengan baik, API bisa membocorkan data-data penting kepada pihak yang tidak bertanggung jawab.

Dalam kasus yang dialami GO-JEK, Fallible menjelaskan bahwa kalau mereka bisa mendapatkan informasi mengenai riwayat perjalanan yang ttelah dilakukan oleh semua pengguna, termasuk juga koordinasi GPS dari perjalanan tersebut. Tidak hanya itu saja, Fallible juga mengklaim kalau mereka juga dapat melihat detail pemesanan para pengguna.

Fallible bahkan bisa mendapatkan data pribadi para mengguna melalui API lain seperti nomor telepon, serta lokasi penjemputan dan lokasi tujuan. Namun, celah keamanan tersebut menurut Fallible telah diatasi oleh GO-JEK.

Sedangkan untuk celah keamanan lainnya, seperti riwayat perjalanan dan data pemesanan, dari Fallible menyatakan bahwa kalau mereka mendapatkn data tersebut baru beberapa hari yang lalu. Pasalnya, menurut Fallible mereka telah memberikan informasi mengenai celah keamanan ke GO-JEK sudah beberapa bulan yang lalu.

GO-JEK mengklaim telah mengatasi semua isu

Berdasarkan informasi yang diperoleh dari sumber lain, GO-JEK menyatakan bahwa kalau semua celah keamanan yang diisukan tersebut telah mereka benahi pada akhir Juli 2016 silah. Pembenahan tersebut dilakukan tidak lama setelah menerima informasi dari Fallible pada bulan Juni 2016. Pernyataan tersebut diperoleh dari Sheran Gunasekera selaku Chief Information Security Officer GO-JEK.

Gunasekera juga mengatakan bahwa pihaknya tidaklah sempurna. Namun, kami sangat serius dalam menangani keamanan data para pengguna kami.

Dengan memiliki pengalaman bekerja selama lima belas tahun dalam dunia keamanan informasi, Gunasekera mengakui bahwa hal tersebut merupakan hal yang wajar jika ada pihak-pihak yang berusaha untuk mencari celah keamanan dari perusahaan teknologi besar seperti GO-JEK. Ia juga sangat menghargai kepada Fallible yang telah memberikan informasi tersebut kepada mereka.

?Hanya saja, cara yang dilakukan Fallible dalam mendokumentasikan kasus seperti ini seharusnya dapat dilakukan dengan lebih baik?, kata Gunasekera. Informasi dari Fallible tidak spesifik karena biasanya dijelaskan dengan lebih banyak spesifikasi, mana celah yang masih terbuka dan mana celah yang masih tertutup.

Gunasekera pun menambahkan baha GO-JEK sebenarnya telah memanggil para hacker untuk mencari bug yang ada di dalam aplikasi mereka dan melaporkannya.

Gunasakera juga menyatakan bahwa dalam waktu dekat ini GO-JEK akan mempublikasikan sebuah artikel yang bertujuan untuk menjawab artikel Fallible tersebut.

Isu terkait keamanan seperti ini bukanlah isu pertama yang menerpa GO-JEK. Pada awal Januari 2016 yang lalu, seorang developer dari Indonesia yang tinggal di Thailand membuat pernyataan serupa seperti yang telah dilakukan oleh Fallible. Developer tersebut memberikan penyataan bahwa dalam aplikasi GO-JEK banyak terdapat bug.

Seiring dengan perubahan yang dilakukan GO-JEK mulai dari layanan transportasi online ke layanan pembayaran setelah meluncurkan GO-PAY, isu mengenai keamanan merupakan isu yang serius bagi pihak GO-JEK. Terlebih lagi, baru-baru ini mereka telah memungkinkan dapat melakukan penarikan dan transfer uang dari akun GO-PAY.

Fallible sendiri mengharapkan bahwa insiden seperti ini dapat meningkatkan kesadaran bagi masyarakat Indonesia terhadap pentingnya keamanan data.