BOCORNYA GOJEK

JS NEWS Demikian Kata Yohane Nugroho,seorang praktisi Teknologi Informasi saat menguak bug dari Go-Jek.

Aplikasi ojek online itu ternyata memiliki sejumlah celah keamanan yg rawan di salah gunakan.Konyolnya, bug tersebut sempat di biarkan cukup lama oleh pengembangnya , hingga artikel ini di publikasikanlewat umum.Lewat bug itu data-data pribadi riwayat transaksi hingga pulsa pengemudi dan penumpang bisa di lihat dan di ubah.

Tentu miris rasanya ,start-up sekelas Go-Jek yg kabarnya bervaluasi triliunan rupiah sembrono dalam merancang aplikasi.Jangan di bandingkan dengan aplikasi sejenis game  atau chating yg minus transaksi keuangan.Apalagi menurut Yohanes ,bug utama Go-Jek adalah API request yg tidak menggunakan seisson.

Artinya,di balik layar pemakai tidak perlu log in untuk melakukan sesuatu.Kesalahan yg sifatnya mendasar tidak boleh terjadi.

Saya menduga ini adalah penyakit aplikasi ‘versi 1’,yaitu fungsionalitas di atas segala-galanya.Asalkan aplikasi bisa segera launching,kekurangan lain bisa di maklumi dan berharap di perbaiki pada versi-versi berikutnya,termasuk mengabaikan keamanan.

Padahal aplikasi berkembang dan semakin rumit,rancangan yg buruk akan sangat merepotkan dan sulit di perbaiki.Tidak heran bila respon perbaikan Go-Jek terbilang lambat dan kebocoran masih terjadi di sejumlah tempat.

Dalam rekayasa software terdapat istilah ‘Scure by Design’ atau ‘Security in Mind’. Artinya, software sudah di buat aman sejak awal perancangan.Keamanan bukan sekedar fitur pelengkap,tapi ntelah menyatu dalampikiran dan tindakan.

Biasanya ketentuan berawal dari praktik-praktik buruk yg mengabaikan faktor keamanan.Bukan hanya sebatas program komputer,tetapi mencakup juga personel,jaringan,ruangan,dan fisik mesin.

Contoh klasik rancangan yg aman misalnya saja server e-mail ­ buatan Daniel J. Bernstein, qmail.Di tahun 1997 qmail menawarkan alternatif lebih aman sari Sendmail yg saat itu rawan serangga hacker.Bahkan Daniel sempat menawarkan hadiah US$ 1000 bagi siapa pun yg mampu menjebol qmail.Nyatanya hingga batas waktu berakhir, hadiah itupun tetap tak tersentuh.

Repotnya, sebuah aplikasi bisa terdiri dari berbagai API dan library yg berasal dari banyak pihak.Model kaloborasi ala open sourche ,di satu sisi lain tanpa standard keamanan yg baku,proyek open sourche malah membuka banyak celah.

Meskipun pada akhirnya,kerja ‘keroyokan’ hasilnya terbukti lebih baik.Apalagi aplikasi open sourche populer biasanya di kelola oleh komunitas yg berkompeten.

Hal penting yg perlu di ingat,jangan pernah menganggap aplikasi Go-Jek di atas di temukan dengan membongkar  paket Android (APK) dan melakukan dekompilasi bytecode Java.

Aktivitas lain seperti akses database ,komunikasi data,penyimpanany file dan pemanggilan api  dapat dengan mudah di awasi.Bahkan dalam kondisi ekstrem melakukan debugging  aplikasi dan menelusuri langkah per langkah juga bisa di lakukan.Cara-cara tersebut di kenal dengan istilah reverse enginering.

Dalam tulisan lain Yohanes juga memaparkan celah dari Zohib Mesenger tsb dan e-Money.Kasus Zohib mirip dengan Go-Jek , yaitu akses API tanpa sesion ,sedangkan e-Money tidak adanya validasi pengisian ulang.

Keduanya masih di warnai praktek-praktek buruk penyimpanan data ,seperti password dan kode kartu kredit tersimpan secara plaitext.Celah celah itu kini sudah di perbaiki.Dari sejumlah kasus di atas,apa benang merah dari itu semua? Harus ada pihak yg berlaku sebagai auditor keamanan aplikasi.Pihak ini berupa pegawai khusus atai firma keamanan yg terjamin.

Bila bisa di intregasikan sejak awal perancangan  aplikasi tentu lebih baik lagi.Perusahaan besar,kecil,maupun personal harus menyadari bahwa keprcayaan mahal harganya sehingga wajib di kelola dengan baik.

Akhirnya,sikap yg perlu di bangun bersama adalah tanggap terhadap gangguan keamanan karena sampai kapan pun potensi itu selalu ada.Apalagi perkembangan TIK begitu pesat. Laporan masyarakat merupakan aset berharga dan perlu mendapat apresiasi tinggi.Perbaikan terus-menerus adalah kunci dari semua masalah .Tidak kotor tidak belajar,bukan begitu?

Sumber : PC Media Edisi

Share Is Cool

Leave a Reply

Your email address will not be published.