แอปพลิเคชั่น Gojek มีช่องว่างความปลอดภัยที่เป็นอันตราย (ข้อผิดพลาด) ผู้ใช้จะต้องรู้!

แอปพลิเคชันที่ครั้งหนึ่งเคยครองตำแหน่งหลักในรายการที่ดีที่สุดใน Google Playstore World คือ Gojek พบว่ามีช่องว่างการรักษาความปลอดภัยที่เป็นอันตราย (ข้อบกพร่อง) สิ่งนี้ถูกเปิดเผยโดยโปรแกรมเมอร์ Yohanes Nugroho ผ่านบล็อกของเขาซึ่งสื่อถึงช่องว่างที่สำคัญบางอย่างในแอปพลิเคชั่น Gojek ตามที่จอห์นจุดสิ้นสุดของการรั่วไหลของ API (แอปพลิเคชันโปรแกรมส่วนต่อประสาน / ส่วนประกอบคอมไพเลอร์ของแอปพลิเคชัน) ในแอปพลิเคชัน Go-Jek ทำให้ข้อมูลที่ควรเป็นความลับถูกขโมยและย่องออก

จากที่นี่ความเป็นไปได้ของผู้ใช้ที่มีจมูกยาวหรือแฮ็กเกอร์สามารถรับหมายเลขโทรศัพท์มือถือของลูกค้าเพื่อใช้ในสิ่งที่ไม่รับผิดชอบ นอกเหนือจากการขโมยข้อมูลประจำตัวของผู้ใช้ Gojek แล้วช่องโหว่นี้ยังอาจส่งผลให้ยอดเงินของผู้ใช้เปลี่ยนไปด้วย สามารถรับและเปลี่ยนแปลงข้อมูลที่เป็นอันตรายได้อีกครั้งโดยไม่ต้องใช้รหัสผ่าน

บทความอื่น:  Nadiem Makarim ~ Harvard บัณฑิตที่ประสบความสำเร็จ "Ngojek" กับ Go-Jek

ในบล็อกของเขา Yohanes อธิบายว่ามีแอปพลิเคชั่น Gojek อย่างน้อยหกช่องว่างที่จริงแล้วมีมาตั้งแต่เดือนสิงหาคม 2558 ที่ผ่านมา แล้วรูปร่างของช่องว่างและเหตุการณ์ของการปรากฏตัวของช่องว่างในแอปพลิเคชั่น Gojek คืออะไร? ติดตามความคิดเห็น

ห้ารอยแตกอันตรายในแอปพลิเคชั่น Gojek

ช่องว่างที่เป็นอันตรายครั้งแรกคือช่องโหว่ของการขโมยข้อมูลเฉพาะตัวของผู้บริโภคตามโทรศัพท์หรือชื่อหรืออีเมล ประการที่สองช่องโหว่ของการโจรกรรมข้อมูลส่วนบุคคลของ Gojek รวมถึงรูปถ่ายที่อยู่และแม้แต่ชื่อมารดาทางชีวภาพ ประการที่สามช่องโหว่ของการแฮ็คชื่อผู้ใช้อีเมลและหมายเลขโทรศัพท์มือถือของผู้ใช้รายอื่น ประการที่สี่มีแนวโน้มที่จะเปลี่ยนหมายเลขโทรศัพท์มือถือและชื่อผู้ใช้อื่น ๆ โดยไม่จำเป็นต้องรู้รหัสผ่าน ประการที่ห้าการแฮ็คประวัติการสั่งซื้อของผู้อื่น

ประวัติการสั่งซื้อของ Gojek นั้นค่อนข้างครอบคลุมซึ่งครอบคลุมการเดินทางจากที่ใดไปยังที่ผ่านเส้นทางใดซึ่งผู้ขับขี่ใช้ผู้โดยสารและอื่น ๆ หากคำสั่งซื้อเป็นอาหารสามารถสั่งอาหารและราคาได้

จอห์นได้ส่งมอบแล้วตั้งแต่สิงหาคม 2558

ที่จริงแล้วหลุมรักษาความปลอดภัย (ข้อผิดพลาด) ที่จอห์นรู้จักตั้งแต่เดือนสิงหาคมปี 2015 นั้นถูกรายงานไปที่ Go-Jek น่าเสียดายที่ Gojek ไม่ได้แก้ไขข้อผิดพลาดทันที เมื่อมีการส่งรายงานโยฮันเนสถูกขอให้ไม่เผยแพร่ข้อผิดพลาดในแอปพลิเคชัน Go-Jek จนถึง 10 มกราคม 2559 ดังนั้นหลังจากผ่านไปสองสามเดือนในเดือนธันวาคม 2558 โยฮันเนสจึงต้องตรวจสอบข้อผิดพลาดของแอปพลิเคชัน Gojek อีกครั้ง

จนกระทั่งในที่สุดก่อนที่จะโพสต์บทความนี้ในบล็อกเมื่อวันที่ 2 มกราคม 2016 เมื่อวานโยฮันเนสยังพบข้อผิดพลาดที่ยังไม่ได้รับการแก้ไข ดังนั้นในกระบวนการซึ่งกันและกันของรายงานฉบับนี้โยฮาเนสสรุปและพิจารณาว่าโกเจ็คนั้นช้ามากในการปรับปรุง

หวังว่าพรรค Gojek จะแก้ไขข้อผิดพลาดในไม่ช้า

สิ่งที่จอห์นทำโดยการโพสต์การเขียนบั๊กของแอป Gojek นั้นไม่ได้มีวัตถุประสงค์ เขาต้องการให้ Gojek แก้ไขข้อผิดพลาดที่เป็นอันตรายต่อผู้บริโภคและไดรเวอร์ทันที ยิ่งกว่านั้นอ้างอิงจาก Yohanes ถ้าเขาไม่เผยแพร่ในบล็อกมันก็กลัวว่า Gojek ยังไม่ได้ทำการปรับปรุงและจัดลำดับความสำคัญของการเพิ่มคุณสมบัติใหม่เท่านั้น

ในที่สุดหลังจากการตีพิมพ์บทความนี้ข้อบกพร่องของแอปพลิเคชั่น Gojek นั้นเป็นที่รู้จักกันดีในชุมชนที่กว้างขึ้นและเป็นไปได้มากที่สุดถ้าคุณใช้ Gojek (หรือในฐานะคนขับ Gojek) ข้อมูลของคุณถูกคัดลอกโดยบุคคลอื่น ด้วยสิ่งนี้ Yohanes หวังว่าด้วยบทความนี้ Gojek จะปรับปรุงการบริการทันที

อ่านเพิ่มเติม:  (อัพเดท) Priitt !! ประธานาธิบดีบอก Ojegs ออนไลน์ยังคงอนุญาต

ข้อบกพร่องที่ง่ายต่อการค้นหาและใช้ประโยชน์

ตามข้อสังเกตของ Yohanes ข้อผิดพลาดหลักของ Go-Jek คือ "คำขอ API" ซึ่งไม่ได้ใช้เซสชัน นอกจากนี้ Yohanes ยังกล่าวว่าข้อบกพร่องทางเทคนิคเช่นแอปพลิเคชั่น Gojek นั้นง่ายต่อการค้นหาและใช้ประโยชน์

นอกจากนี้ข้อผิดพลาดนี้ยังถือว่าเป็นเรื่องยากที่จะแก้ไขเพราะเมื่อมีการอัปเดตเซิร์ฟเวอร์ลูกค้าทั้งหมดจะต้องอัปเดตพร้อมกัน ในขณะเดียวกันคดีก็เกิดขึ้น 1-2 เดือนหลังจากที่จอห์นรายงานข้อผิดพลาดนี้ ในเวลานั้นมีคนที่เริ่มใช้ประโยชน์จากข้อผิดพลาดนี้โดยเสนอการเติม Gojek ในราคาต่ำ

หลังจากเหตุการณ์นี้ Gojek ปิดการใช้งานบัญชีที่มีมูลค่าเครดิตสูงกว่าหนึ่งล้าน นอกจากนี้โยฮันเนสขอร้องให้สาธารณชนระมัดระวังในการใช้แอปพลิเคชั่น Gojek มากขึ้น สาธารณะถูกขอให้เลือกเพิ่มเติมในการแบ่งปันข้อมูลส่วนบุคคลในแอปพลิเคชัน