Pada kesempatan kali ini saya akan membahas tentang startup unicorn yang ada di indonesia yaitu gojek.
Pada Hari, Senin (28/10/2019). Saya melihat postingan di facebook dari friendlist saya , dia memposting sebuah write up report bug di medium.com teman saya itu bernama mas tenwap. Ini profile medium.com nya: https://medium.com/@mastenwap
REPORT BUG GOJEK OLEH MASTENWAP DI NYATAKAN TIDAK VALID
Dia melaporkan celah keamanan di aplikasi gojek , Celah keamanan tersebut severitynya sudah high atau bisa di sebut IDOR . Dia menemukan celah keamaan csrf di salah satu menu pada aplikasi gojek , yang memungkinkan seseorang bisa mentrasfer 100rb tapi saldo dari gopay orang tersebut hanya berkurang 10rb misalnya. Celah ini sangat bahaya bagi pihak gojek.
Respon GOJEK?
Sejak melaporkan celah tersebut gojek belum memberikan tanggapan apapun sehingga teman saya ini nekat memposting writeup bug nya di sosial media. Wajar dia memposting hal tersebut karena gojek tidak merespond bug yang cukup berbahaya ini sangat lama.
Namun saat saya ingin izin untuk mempublish artikel ini postingan write up nya di medium.com sudah di hapus, sepertinya gojek sudah mulai melirik.
Yang saya bingung kok bisa yah sekelas startup unicorn kaya gojek ini lalai dan tidak menanggapi report begitu lama? oh ya mungkin karena founder nya jadi menteri kali ya hahaha (becanda).
[NEWS UPDATE]
Ternyata pihak Gojek telah merespond dan menyatakan bugnya mastenwap ini tidak valid? loh kok tidak valid padahal sekelas csrf loh , haduh mungkin gojek memiliki suatu alasan kali ya, tapi menurut saya sayang banget nih respond dari gojek malah tidak valid, CSRF itu critical apabila important function yang kena, semisal contoh deleted account atau take over account.
Dalam kasus bug yang di laporkan oleh mastenwap ini csrf yang di maksud berdampak bisa merubah parameter amount transfer yang terkirim Rp. 10.000 misal bisa di ubah menjadi Rp.1000 impactnya lumayan besar.
Kalo bug seperti ini saja di anggap tidak valid bagaimana kelangsungan gojek? masih ingatkan bug gojek yang lalu, gojek rugi puluhan milyar karena bug gpc itu mungkin karena gojek kurang sigap dalam menangani bug yang sangat rentan seperti ini , bug gpc memang tidak di laporkan tapi bug yang di temukan oleh mas tenwap ini sangat berbahaya dan di anggap tidak valid . kalian bisa melihat write up dari bug gojek ini https://medium.com/@mastenwap/vulnerability-csrf-or-idor-in-gojek-application-8fb17fd6066a (Sayangnya Post yang sudah di publish oleh tenwap saat ini tidak bisa diakses)
Saran saya untuk perusahaan sebesar gojek harus lebih sigap dan peduli akan bug yang sangat berbahaya dan untuk mastenwap harao bersabar. walau tidak dapat bounty tapi perbuatan baik beliau sangat membantu startup di indonesia berkembang lebih baik lagi. Cheers see u next time..
Penulis (Yupi)