Sejak tulisan saya mengenai bug Go-jek tahun 2016, sudah ada banyak sekali driver yang meminta bantuan saya untuk: unsuspend status driver atau membantu hack aplikasi Go-jek. Saya masih bisa sedikit mengerti kalau ada yang bertanya soal Go-jek, tapi banyak juga driver Grab yang bertanya hal serupa. Semua jawaban saya sama: saya tidak bisa membantu masalah Anda. Silakan diselesaikan dengan pihak Go-jek/Grab.
Biasanya jawaban tersebut dianggap kurang memuaskan, jadi perlu dijawab panjang. Saya sudah capek menjelaskan, jadi akan saya tuliskan jawaban saya di sini agar gampang dilink untuk menjawab. Biasanya pertanyaan awal disambung dengan: Kan dulu Anda bisa ngehack Go-jek, pasti bisa lagi dong?. Begini ya: dulu keamanan mereka itu lemah sekali. Kira-kira keamanannya seperti ini:
Intinya saat itu siapa saja bisa masuk dan mengambil data driver, dan juga data penumpang. Artinya dari mulai KTP, foto wajah, sampai nama Ibu kandung driver bisa diambil, demikian juga informasi penumpang dan berbagai rute yang diambil juga bisa dilihat siapa saja.
Waktu itu penting bagi saya memberitahu bug itu ke dunia, karena penumpang dan driver perlu tahu bahwa data mereka bocor. Kalau tiba-tiba ada penagih hutang kartu kredit datang ke rumah karena ada yang mengambil alih identitas (berpura-pura jadi seseorang, istilahnya: identitiy theft) dari informasi yang bocor tersebut dan berhutang kartu kredit atas nama orang tersebut, maka driver atau penumpang bisa sangat rugi
Setiap kali menemukan bug, saya beritahu bug itu ke pihak terkait, lalu mereka akan menambal bugnya. Di contoh gambar di atas: gemboknya sudah diganti dan dikunci lebih baik. Tidak berarti sistemnya 100% aman, tapi sekarang tidak sembarang orang bisa mengambil data.
Ada juga yang bertanya: apakah tidak mau mencoba ngehack Go-jek lagi? Jawabannya: saya tidak tertarik. Saya sudah punya banyak kerjaan pentesting yang jelas pasti dibayar, daripada mencari bug Go-jek yang mungkin ada, mungkin tidak ketemu, dan tidak dibayar. Bahkan seumur hidup saya sampai saat ini, baru memakai Gojek di bulan lalu ketika liburan di Indonesia.
Bug Go-jek itu sudah 3 tahun yang lalu dan cuma satu episode yang pernah terjadi di hidup saya, dan saya sudah move on ke hal-hal lain baik yang berhubungan dengan security ataupun tidak. Ada banyak cerita security yang saya ceritakan di sini, dan banyak juga yang tidak diceritakan. Beberapa hal seputar security setelah go-jek yang ditulis di blog saya tapi mungkin tidak dibaca kebanyakan orang misalnya: saya menemukan bug di Mastercard (dapat 8500 USD), saya mendapatkan training security gratis di Belanda, saya menang CTF sehingga bisa jalan-jalan gratis sekeluarga ke Disneyland Hong Kong, membongkar algoritma keamanan Pokemon Go Plus, dsb. Dan masih banyak lagi hal-hal yang tidak saya tuliskan.
Nasihat saya: jika ada masalah, selesaikanlah dengan pihak Go-jek/Grab. Liburan terakhir saya ke Indonesia, saya sempat “dikerjai” driver yang menyatakan statusnya sudah sampai tempat penjemputan, dan tiba-tiba jadi “dalam perjalanan”, dan sekian menit kemudian “tiba di tujuan”, padahal drivernya belum nongol. Apakah saya ngehack langsung sistemnya? atau menghubungi teman yang kerja di Grab? nggak, saya memakai jalur resmi untuk melaporkan kelakuan driver tersebut dan semua bisa beres dalam waktu singkat.
Melakukan sesuatu yang tidak sesuai aturan juga berisiko bagi orang yang membantu Anda. Misalnya Anda ketemu orang dalam yang bisa membantu unlock status driver, maka jika ketahuan, maka orang tersebut kemungkinan besar akan dipecat. Jika orang eksternal berhasil menemukan jalan masuk dan ketahuan maka bisa ditangkap polisi. Andaikan saya bisa masuk pun, saya tidak akan mengambil risiko hidup saya demi hidup Anda (apalagi saya tidak kenal Anda).
Saya tahu bahwa sebuah sistem kadang tidak sempurna, dan kadang mungkin Anda benar disuspend karena kesalahan sistem. Tapi sistem Go-jek/Grab bukanlah milik saya, jadi mohon selesaikanlah dengan pemilik sistem dengan cara yang legal.