Viral Aplikasi Pinjaman Online di Play Store Rekam Aktifitas Pribadi Peminjam. Apakah kamu pernah meminjam uang menggunakan aplikasi peminjaman online? Baru-baru ini seorang netizen membagikan fakta menarik ketika dia melakukan pentesting di salah satu aplikasi yang dia temukan di Play Store.
Kesalahan Fatal dari Pembuat Aplikasi
Melalui akun Facebook miliknya, netizen bernama Niko Tidar Lantang Perkasa membagikan pengalamannya ketika “iseng” mencari bug atau celah pada aplikasi peminjaman online yang dia temukan di Play Store. Dari status yang dia bagikan, nampaknya aplikasi yang jadi korban keisengannya tersebut memiliki bug yang cukup fatal dimana tidak ada autentifikasi pada database sehingga semua orang dapat mengakses data pribadi peminjam yang seharusnya bersifat sangat rahasia.
Merekam Seluruh Aktifitas di Aplikasi Grab, Go-Jek, dan Tokopedia
Fakta lain yang mencengangkan adalah bahwa aplikasi tersebut ternyata juga merekam history pemesanan kita melalui aplikasi Grab dan Go-Jek berupa detail lokasi penjemputan dan tujuan pergi, nomor handphone customer dan driver, email, balance gopay dan plat nomor si driver. Selain itu, aplikasi ini juga merekam gistory pembelian di Tokopedia, barang apa yang di beli, harga barang, nama pembeli, nomor handphone, email serta alamat dimana barang tersebut di kirimkan.
Berikut narasi status yang ia buat:
“Hari ini saya iseng untuk mengetest aplikasi pinjaman online yang ada di play store. Hasilnya cukup mengejutkan, dimana database mereka dapat di akses secara public tanpa authentication. Disana saya dapat melihat ribuan data pengguna dari aplikasi tersebut dari mulai nomor handphone, nama lengkap, alamat lengkap, nomor kerabat, nomor kk dan nomor ktp hingga foto ktp dan foto selfienya.
Tidak hanya itu, ternyata aplikasi ini juga merecord history perjalanan Grab dan Go-Jek anda, saya dapat melihat dengan detail lokasi penjemputan dan tujuan pergi, nomor handphone customer dan driver, email, balance gopay dan plat nomor si driver.
Tidak sampai disini, aplikasi ini juga merecord history pembelian anda di Tokopedia, saya dapat melihat barang apa yang di beli, harga barang, nama pembeli, nomor handphone, email serta alamat dimana barang tersebut di kirimkan. This is insane.”
Di status tersebut juga terlampir dua screenshot yang menunjukkan dia berhasil mengakses database aplikasi tanpa credential.
Sementara tangkapan layar yang kedua menunjukkan bahwa database tersebut menyimpan data pribadi dari pengguna aplikasi (yang dalam hal ini adalah si peminjam).
Belum diketahui nama aplikasi peminjaman online yang dimaksud. Kemungkinan karena Niko bermaksud melaporkan celah tersebut kepada vendor aplikasi agar celahnya segera diperbaiki. Hal ini wajar karena data-data yang bocor termasuk data sensitif, akan sangat fatal jika sampai jatuh ke tangan orang yang salah (hacker jahat).
Saat artikel ini ditulis, postingan Niko yang dibuat pada tanggal 21 Juli tersebut sudah mendapatkan 1,2rb share dan 500 komentar. Reaksi netizen pun bermacam-macam. Ada yang menganggapnya hanya cari sensasi, ada yang menganggapnya hoax, namun tak sedikit yang memberinya apresiasi karena berhasil menemukan celah dan juga “fakta menarik” dibelakang perusahaan fintech tersebut.
Juga Rekam History Aplikasi My Telkomsel, My XL, My IM3 dan Lazada
Di postingan lain, Niko menambahkan bahwa selain data-data diatas, aplikasi ini juga merekam data peminjam yang menggunakan aplikasi My Telkomsel, My XL, My IM3 dan Lazada.
Di akhir postingan, ia meminta maaf karena untuk saat ini belum bisa membocorkan nama aplikasi dari perusahaan fintech yang dimaksud.
Harus Tetap Teliti dan Waspada
Di jaman teknologi dimana semua serba dimudahkan kadang membuat manusia kurang waspada. Keberadaan perusahaan fintech di jaman seperti ini memang banyak memberikan keuntungan, bagi yang bisa memanfaatkan. Namun, kita sebagai pengguna juga harus tetap waspada dan teliti. Jangan asal install aplikasi di smartphone kita. Teliti terlebih dahulu sebelum menginstall aplikasi, apakah permission yang diminta oleh si aplikasi wajar atau tidak. Jika permission yang diminta tidak wajar, lebih baik jangan diinstall.
Kasus aplikasi pinjaman online yang merekam data pengguna seperti ini bisa terjadi sedikit banyak karena kecerobohan pengguna. Biasanya pengguna awam yang tergiur dengan promo ataupun layanan yang ditawarkan aplikasi terkait akan menginstall aplikasi tersebut tanpa pikir panjang, tanpa memeriksa hak akses apa saja yang diberikan oleh smartphone kita ke aplikasi tersebut. Imbasnya, aplikasi tidak bertanggung jawab yang sudah diberi akses “secara tidak sadar” oleh pengguna memiliki akses penuh untuk mengoleksi data pribadi pengguna aplikasi tersebut.
Oleh karena itu, selalu teliti terlebih dahulu sebelum menginstall aplikasi di smartphone anda, tidak hanya aplikasi pinjaman online, tapi aplikasi apapun. (yuyudhn/linuxsec)
