KONFRONTASI-Pemerhati dunia teknologi dan informasi, Donny Budi Utoyo meminta GoJek untuk transparan atas apa yang terjadi dengan aplikasinya.
Baru-baru ini, seorang programer mengetahui celah keamanan yang terdapat di dalam aplikasi GoJek, dimana data pengguna dan pengendara bisa dilihat, seperti nama, alamat, nomor telepon, e-mail, dan sebagainya.
"Kalau memang ada kebocoran, sampaikan ke pelanggan, menyampaikannya ke publik bisa lewat website atau aplikasinya," kata Donny saat dihubungi KompasTekno, Rabu (20/1/2016).
"Jangan sembunyi-sembunyi diam saja, setelah ramai di media baru ngomong," imbuhnya.
Ditambahkan Donny, transparansi itu perlu sebab pelanggan berhak tahu apa yang terjadi dengan data mereka yang ditaruh di server GoJek.
"Yang paling penting tanggung jawab dia mengumpulkan data pribadi dan menyimpannya harus ada," ujar Donny.
Pengetahuan bagi pengguna dan driver
GoJek juga diminta untuk memberikan pengetahuan tentang privasi data, tak hanya kepada pengguna saja, namun juga pengemudi GoJek.
Selain mendapatkan pelatihan berkendara, driver GoJek juga harus diberi pengetahuan bahwa data pelanggan seperti nomor telepon itu adalah data pribadi yang harus mereka lindungi.
"Mereka juga harus mendapat pengetahuan, jangan sampai data yang dititipkan ini disalahgunakan oleh mitra GoJek," kata Donny.
Selama ini, GoJek dalam operasinya memungkinkan pengendaranya mengakses nomor telepon pengguna GoJek. Mereka bisa menelpon pengguna, dan riwayat telepon itu tercatat dalam smartphone-nya.
Pelanggan juga harus diberi pengertian bahwa data yang dipercayakan ke GoJek ditaruh di server dan bisa diakses oleh pengendara GoJek, pengalihan data ini yang harus disadari oleh pelanggan GoJek.
Donny juga meminta agar pemerintah segera mengesahkan peraturan menteri tentang perlindungan data privasi, atau mempercepatnya menjadi sebuah undang-undang, seperti yang telah dilakukan oleh negara-negara maju.
Seorang perancang aplikasi (programmer) menemukan celah keamanan (bug) di aplikasi Go-Jek untuk Android dan iOS. Lewat celah pada API endpoint tersebut, informasi-informasi yang seharusnya rahasia bisa dicuri dan diintip. Informasi-informasi apa saja yang rawan bocor?
Menurut programmer bernama Yohanes Nugroho itu, kebocoran API (application program interface/komponen penyusun aplikasi) endpoint di aplikasi Go-Jek bisa dimanfaatkan oleh orang-orang tidak bertanggung jawab untuk mendapatkan data-data nomor ponsel pelanggan.
Tak hanya itu, customer ID juga bisa dilihat berdasarkan nomor telepon, nama, atau e-mail. Nama user, e-mail, nomor ponsel juga bisa diubah tanpa memerlukan password.
Order history dari pengguna Go-Jek juga bisa dilihat. Order history ini berisi informasi yang cukup komprehensif, seperti dari mana, ke mana, lewat rute mana, driver mana yang mengambil penumpang, dan sebagainya.
Jika pesanannya adalah makanan, makanan yang dipesan dan harganya juga bisa dilihat.
Dari sisi driver Go-Jek, kredit Go-Jek yang dimiliki oleh pengendara Go-Jek bisa diubah-ubah. Informasi penting mereka, termasuk foto, alamat, dan bahkan nama ibu kandung, bisa didapat.
Dengan sedikit pengetahuan teknis, siapa pun bisa mengambil, melihat, dan mengubah informasi-informasi rahasia tersebut di atas.
Sudah dilaporkan, Go-Jek lambat
Menurut pengakuan Yohanes, bug-bug tersebut sudah dilaporkan ke Go-Jek sejak Agustus 2015 lalu. Go-Jek pun meminta dirinya tidak memublikasi bug dalam aplikasi Go-Jek hingga 10 Januari 2016.
"Ternyata, ketika saya coba lagi sebelum posting artikel ini (2/1/2016), sebagian besar bug yang ada ternyata belum diperbaiki," demikian tulis Yohanes, seperti dikutip KompasTekno dari blog pribadinya.
Bug utama Go-Jek, menurut Yohanes, adalah "API request"-nya yang tidak menggunakan session. Ia pun menyarankan agar Go-Jek memperbaiki berbagai bug tersebut.
Dengan dipublikasikannya tulisan tersebut melalui blog-nya, ia berharap Go-Jek segera melakukan perbaikan.
"Karena sepertinya jika tidak di-publish, perbaikan akan lambat dilakukan dan fitur baru lebih diutamakan," katanya. (KCM)