Data Pengguna Gojek Masih Bisa Dilihat Bebas (Orang Awam)

data pengguna gojek

Pengguna setia Gojek? Pasti pernah dengar atau baca berita tentang aplikasi ojek online ini memiliki bug yang memungkinkan siapapun bisa mengintip data pengguna dan data pengemudi ojek. Kita sih awalnya dapet info ini dari Gadget Gaul yang nge-share link ke postingan Yohanes Nugroho. Awalnya kita tidak tertarik untuk mencoba metode yang dijabarkan oleh Yohanes, karena memang udah lama ga pegang apktool dan sudah bosan mengoprek Android. Namun rasa penasaran itu tumbuh ketika pada tanggal 15 Januari kemarin kita membaca postingan Kompas Tekno bertanggal 10 Januari yang mengungkap bahwa data pengguna Gojek masih bisa diakses secara leluasa. Hingga akhirnya kami mencoba untuk memastikan apakah Gojek benar-benar masih “bolong”.

Sebelum kita mulai detail, harap diingat bahwa kami hanya ingin menyampaikan postingan ini sebagai bahan edukasi dan informasi tentang bagaimana keamanan sistem aplikasi dan web service dari Gojek tanpa ada niatan buruk.

Dan harap diketahui bahwa kami hanya orang awam, bukan developer atau website engineer. Kami tidak memiliki kemampuan bahasa Java, PHP, Ruby, Phyton, atau bahasa-bahasa pemrograman lainnya. Hanya bermodal pengetahuan cethek, dan pengalaman porting ROM Android MIUI semenjak 2011 silam. Buat mastah-mastah mungkin ada baiknya close tab kalo ga pengen ngakak ngebaca tulisan sotoy, awam, dan cupu di bawah.

Orang Awam Bisa Mengakses Data Gojek

Well, jika membaca postingan Yohanes Nugroho secara teliti maka hampir semua orang bisa mengakses data Gojek jika mengikuti metode beliau. Berbekal apktool, siapapun bisa decompile file apk Gojek dan menemukan daftar URL endpoint API Gojek. Hampir semua endpoint tersebut bisa diakses leluasa tanpa ada authentification.

bug gojek adugadget

Dari berbagai endpoint tersebut, siapapun bisa mendapat informasi berupa JSON (JavaScript Object Notation) yang seperti:

  • Data pribadi pengguna seperti: nama, nomor handphone, email, kredit Gojek, dan beberapa info lain.
  • Historical data pengguna berupa data order yang meliputi: jenis layanan, detail driver, tarif, titik awal dan tujuan pengguna lengkap dengan koordinat geografis, dan masih banyak detail lainnya.
  • Informasi Pengendara, yang meliputi: BANYAK HAL, bahkan tempat mangkal pun ada. Ga mungkin disebutin satu-satu.
  • Info merchant-merchant yang bergabung dalam layanan GoFood.
  • Kayanya masih banyak yang lain, ga tau sih

Dari pemaparan Yohanes, beliau bisa menemukan user ID dengan menggunakan filter/parameter. Berhubung kita awam atau memang tidak tahu, kita blom bisa menemukannya sehingga hanya bisa menebak-nebak user ID (brute force). Kita sempet menggunakan find?name=xxx tapi sepertinya pattern itu tidak berfungsi (error 401) atau memang sudah ditambal oleh pihak Gojek?

history order gojek

Data Pengguna Gojek Bisa Diunduh dengan Mudah

Dari pemaparan di atas, kita memang ga bisa nyari user tertentu dengan filter/search nama atau data pribadi lainnya. Tapi bagaimana dengan mengunduhnya? Secara logika sotoy kami, sebenarnya semua data pengguna bisa diunduh dengan melakukan brute force ke URL/endpoint user id. Caranya bisa membuat semacam aplikasi/worker yang berfungsi crawling semua data dan pool ke database. Hal ini memungkinkan mengingat Gojek tidak memberikan batasan request terhadap API-nya.

Berhubung kami awam dan ga bisa menulis aplikasi, tentu kami tidak melakukannya. Tapi berhubung adanya Google yang bisa menjawab berbagai pertanyaa, maka kami come up dengan ide mengunduh dan menyimpannya dalam aplikasi Google Sheets. Tidak perlu skill programming, tidak perlu modal server sendiri, murni cuma bermodal Googling dan sedikit skill spreadsheets.

Hasilnya? LOL, kami bisa bikin form yang cukup dengan memasukkan user ID Gojek bakal nge-fetch semua data pribadi termasuk history orderan. Seperti ini bentuknya:

sheet fetch gojek2

Itu kalau cuma satu user, bagaimana kalau data ribuan user? Tetep bisa, mengingat ga ada batasan request ke server!

gojek user data

Efeknya?

Apa sih bahayanya dari bug ini? Berhubung kita awam sih ga tau juga efek signifikannya, paling data-data user diunduh trus diperjualbelikan. Tapi yang pasti jadi bikin males aja karena sebagian data kita bisa diintip dengan mudah mulai dari data pribadi hingga rute ngojek kita sehari-hari. Yang paling dirugikan sepertinya si driver Gojek, mengingat data yang paling bisa banyak diintip adalah data driver. Semoga saja pihak Gojek segera memperbaiki bug ini sehingga ga ada lagi pengguna aplikasi ini yang merasa dirugikan.

Update

  • 23 Januari 2016: Pengecekan pada hari ini, sepertinya developer Gojek sudah melakukan perbaikan, URL untuk melihat data pengguna (customer) V2 sudah tidak bisa diakses dengan kode balasan 401 (unauthorized). Namun URL untuk melihat history booking masih bisa diakses, bahkan menggunakan URL lama.
  • 14 Februari 2016: Data booking history pengguna masih bisa diakses melalui URL endpoint versi pertama dan kedua (v2).
  • 12 Mei 2016: Data booking history pengguna sudah tidak bisa diakses dengan kode error 503.

Pencarian Terkait:

  • cara melihat feedback customer gojek,
  • id customer gojek,
  • cara melihat data driver gojek,
  • server gojek,
  • id driver gojek,
  • cara melihat profil driver gojek,
  • data driver gojek,
  • profil driver gojek,
  • id gojek,
  • nama email gojek,
Topik:
6 komentar
  1. Dessy

    Bisa minta bantuan untuk kembalikan history app gojek? Karna history app gojek saya hilang dengan sendiri

    Balas 28 Oktober 2016 - 18:24
  2. Maryono

    Bagaimana cara melihat kembali data daftar online gojek saya.karena saya lupa nopol motor yang saya pakai daftar. Motor saya ada dua.

    Balas 14 Agustus 2017 - 21:50
  3. Anonim

    Beuhhh… Dgn baca artikel ini saya jadi paham kenapa tiba2 ada org lain yg order layanan gojek atas nama saya. Tapi herannya kenapa di aplikasi tdk ada historisnya ya. Hmmmm….

    Balas 25 Agustus 2017 - 22:10
  4. mohammad ridwan

    Saya udah daftar gojek onlien tapi g ada balasan y

    Balas 26 Agustus 2017 - 15:41
  5. Arif surya

    Sya.. Ingin minta tolong apakah ada cara memblokir app gojek customer.. Soalnya kasihan dngn teman2 yg selalu dibohongi/ dinakali oleh para customerr nakal.. Tidak hanya satu atau 2 driver tpi puluhan driver..

    Balas 5 September 2017 - 17:16
  6. R.fauzi

    Aplikasi penumpang sy selalu feedback,,,tlp cs suruh instal ulang tapi sama aja hasilnya,,gmn solusinya nih…sy mau order susah, aplikasinya gak bisa masuk,selalu feedback

    Balas 9 Oktober 2017 - 12:59

Tinggalkan komentar

Silakan tinggalkan komentarmu di bawah, jangan lupa untuk mengisi Nama & Email