Kamis, 30 Maret 2017

Celah Keamanan Pada API Terungkap, GO-JEK Nyatakan Semua Isu Telah Beres

3COMMENTS
GO-JEK Leaks
Perusahaan keamanan digital asal India, Fallible, pada tanggal 24 Maret 2017 yang lalu mengklaim kalau mereka berhasil menemukan celah keamanan besar pada aplikasi transportasi on-demand GO-JEK. Hal ini mereka sampaikan dalam sebuah artikel di Hackernoon.

Fallible sendiri merupakan perusahaan yang fokus untuk mendeteksi celah keamanan pada API end point, sebuah interface yang digunakan perusahaan teknologi agar data mereka bisa digunakan oleh layanan lain. Jika tidak dilindungi dengan baik, API bisa membocorkan data-data penting kepada pihak yang tidak bertanggung jawab.
Dalam kasus GO-JEK, Fallible mengatakan kalau mereka bisa mendapatkan informasi riwayat perjalanan yang dilakukan semua pengguna, termasuk koordinat GPS dari perjalanan tersebut. Selain itu, Fallible mengaku kalau mereka juga bisa melihat detail pesanan para pengguna.
Lewat API lain, Fallible bahkan bisa mendapatkan data pribadi pengguna, mulai dari nomor telepon, serta lokasi penjemputan dan lokasi tujuan. Namun celah keamanan ini menurut Fallible telah diatasi oleh GO-JEK.
Sementara itu untuk celah keamanan yang lain, seperti riwayat perjalanan dan data pesanan, Fallible menyatakan kalau mereka masih bisa mendapatkan data tersebut beberapa hari yang lalu. Padahal menurut Fallible, mereka telah memberikan informasi kepada GO-JEK terkait celah keamanan tersebut beberapa bulan silam.

GO-JEK mengklaim telah mengatasi semua isu

GO-JEK Fallible Hackernoon
Kepada Tech in Asia, GO-JEK menyatakan kalau semua celah keamanan tersebut telah mereka benahi di akhir Juli 2016 yang lalu, tak lama setelah mereka menerima informasi dari Fallible pada bulan Juni 2016. Hal ini dinyatakan oleh Chief Information Security Officer GO-JEK, Sheran Gunasekera.
“Saya tidak menyatakan kalau kami sempurna. Namun kami sangat serius terhadap keamanan data pengguna kami,” tutur Gunasekera.
Berpengalaman bekerja di dunia keamanan informasi selama lima belas tahun, Gunasekera mengakui kalau wajar apabila ada pihak-pihak yang berusaha mencari celah keamanan dari perusahaan teknologi besar seperti GO-JEK. Ia pun menghargai Fallible yang memberikan informasi tersebut kepada mereka.
Namun menurut Gunasekera, cara Fallible mendokumentasikan kasus ini seharusnya bisa lebih baik. “Tulisan itu tidak spesifik. Biasanya dijelaskan dengan lebih banyak spesifikasi teknis, mana celah yang masih terbuka dan mana yang telah tertutup.”
Gunasekeran menjelaskan kalau GO-JEK sendiri sebenarnya juga mengundang para hacker untuk mencari bug yang ada di aplikasi mereka dan melaporkannya. Untuk setiap laporan yang diberikan, GO-JEK akan memberikan sejumlah hadiah.
Dalam waktu dekat, Gunasekeran menyatakan kalau GO-JEK akan mempublikasikan sebuah artikel guna menjawab artikel Fallible tersebut.
Ini bukan kali pertama GO-JEK diterpa isu keamanan. Pada awal Januari 2016, seorang developer tanah air yang tinggal di Thailand membuat pernyataan serupa dengan yang dilakukan oleh Fallible. Developer tersebut mengatakan kalau ia percaya masih ada banyak bug di dalam aplikasi GO-JEK.
Seiring dengan perubahan GO-JEK dari layanan transportasi online ke layanan pembayaran setelah meluncurkan GO-PAY, isu keamanan tentu menjadi hal serius bagi mereka. Apalagi baru-baru ini mereka telah memungkinkan para pengguna mereka untuk melakukan transfer dan penarikan uang dari akun GO-PAY.
Fallible sendiri berharap kalau insiden ini bisa meningkatkan kesadaran masyarakat Indonesia tentang pentingnya keamanan data.
“Berdasarkan pengalaman kami, perusahaan yang beroperasi di negara dengan perlindungan data pribadi yang lebih baik, akan menginvestasikan lebih banyak waktu dan uang mereka untuk memperbaiki sisi keamanan. Hal ini mereka lakukan untuk menghindari denda dan tuntutan hukum.
Sayangnya, hal ini tidak terjadi di Asia Tenggara, termasuk Indonesia. Akan lebih baik kalau orang-orang yang menggunakan layanan tersebut sadar akan celah keamanan yang ada, dan akibat yang ditimbulkan.”
(Artikel ini pertama kali dipublikasikan dalam bahasa Inggris oleh Nadine Freischlad. Isi di dalamnya telah diterjemahkan dan dimodifikasi sesuai standar editorial Tech in Asia Indonesia; Diedit oleh Pradipta Nugrahanto)

ABOUT ADITYA

Suka menulis perkembangan dunia startup dan teknologi. Pecinta buku biografi dan science fiction. Bisa diajak ngobrol lewat email aditya@techinasia.com atau Twitter @adheet_ya.