Ilustrasi | Foto: freepik.com
Ilustrasi | Foto: freepik.com
Jakarta, Cyberthreat.id – Niko Tidar, pembongkar praktik nakal aplikasi teknologi finansial (fintech) mengatakan, ada lima aplikasi yang diujinya.
Kelima aplikasi tersebut cukup populer dan terdaftar di Otoritas Jasa Keuangan (OJK). Namun, Niko tak mau membuka nama kelima fintech tersebut.
Ketika ditemui Cyberthreat.id, pada 27 Juli lalu, ia menceritakan awalnya melakukan uji penetrasi (pentest) terhadap aplikasi fintech tersebut.
Berita Terkait:
Sebelum melakukan pentest, ia mencari fintech yang tercatat di OJK. Ia menjelaskan, ada dua kategori fintech yang ada di OJK, yaitu “Terdaftar & Diawasi” dan “Berizin & Diawasi”.
Niko lalu memilih perusahaan fintech yang “Terdaftar & Diawasi” oleh OJK. “Saya memilih lima fintech yang terdaftar dan diawasi oleh OJK,” kata dia.
“Dari kelima itu, ada 2-3 fintech yang dimiliki oleh perusahaan yang sama. Kalau yang saya posting di Facebook itu hanya satu dari lima fintech yang saya lakukan pentest,” ujar dia.
Niko menjelaskan, bahwa aplikasi fintech yang ia teliti itu berasal dari China yang berekspansi di Indonesia, dan “Banyak digunakan oleh masyarakat Indonesia,” kata dia.
Ketika ia melakukan pentest pada kelima aplikasi, ternyata ia berhasil mendapatkan alamat internet protocol (IP) yang mengarahkan ke data base aplikasi tersebut.
Ia pun berhasil membuka data base tersebut dan alangkah kagetnya karena ia tidak perlu menggunakan nama pengguna dan kata sandi.
“Sampai saat ini (27 Juli 2019) data base tersebut masih bisa diakses oleh publik. Saat itu saya menggunakan search engine Shodan, lalu saya masukkan alamat IP dan masuk ke data base,” kata dia.
Dalam data base tersebut, Niko menemukan data pribadi dan transaksi e-commerce dari pengguna layanan aplikasi fintech. “Jumlah bisa mencapai ribuan data,” kata dia.
Data tersebut meliputi: nomor ponsel, alamat lengkap, nomor kerabat, nomor KTP, foto KTP beserta selfie-nya, dan lain-lain.
Ada pula rekaman riwayat dari aplikasi Grab dan Gojek meliputi detail lokasi penjemputan dan tujuan pergi, nomor ponsel customer, nomor ponsel driver, email, balance Gopay, dan plat nomor driver.
Niko menunjukkan semuanya itu kepada Cyberthreat.id
Bagaimana cara aplikasi fintech bekerja?
Sejauh ini ia menduga bahwa di dalam aplikasi itu telah dibuat software development kit, di mana pengguna seolah-olah memberikan datanya secara sukarela kepada pihak pengembang. Sementara, pengguna tidak tahu jika data dalam ponselnya sudah direkam oleh aplikasi tersebut.
Sementara di statusnya, ia sempat menuliskan bahwa dugaan sementara aplikasi itu berupa malware, tapi dibungkus dalam wujud aplikasi pinjaman online.
Sepekan terakhir, Niko Tidar populer di media massa dan media sosial setelah unggahan status di akun Facebook-nya menjadi viral.
Dia menulis bahwa ada fintech yang merekam seluruh data aktivitas penggunanya. Data tersebut tidak tersimpan secara enkripsi sehingga bisa diakses oleh publik. Yang mengerikan dari cerita Niko, aplikasi itu juga merekam aktivitas pengguna aplikasi Gojek, Grab, My Telkomsel, Lazada, My XL, My IM3, dan Tokopedia.
“Awalnya saya cuma iseng karena sering baca di media soal fintech dan juga cerita dari teman-teman yang sering kali ditelepon sama debt collector fintech, padahal dia tidak pinjam. Saya jadi penasaran juga,” ujar mantan karyawan Noosc Global, perusahaan teknologi informasi yang bergerak di jasa layanan sistem keamanan, yang di Jakarta ini.
Dan, “Saya tidak menyangka jika status saya ini pada akhirnya menjadi sangat viral dan diberitakan oleh media massa,” kata dia.
Redaktur: Andi Nugroho
Share:
