Pihak Go-Jek yang dihubungi oleh KompasTekno memberikan penjelasannya.

Menurut hasil penyidikan yang dilakukan oleh Go-Jek, akun-akun yang banyak dijual di media sosial itu diambil dari layanan online lain di luar Go-Jek, yang memiliki protokol dan sistem keamanan yang pernah diretas.

"Para peretas (hacker) kemudian menemukan bahwa e-mail danpassword dari akun-akun tersebut sama dengan yang digunakan di akun-akun Go-Jek," tulis Go-Jek dalam keterangan resmi yang diterima oleh KompasTekno, Minggu (24/7/2016).

"Hal ini dapat terjadi karena banyak pengguna/pemilik akun menggunakan kombinasi e-mail dan password yang sama untuk berbagai akun online," imbuh juru bicara Go-Jek.

"Apa yang kemudian dijual oleh para hacker di berbagai platform media sosial adalah akun login dan password dari berbagai layanan pembayaran online lain, termasuk informasi di kartu kredit, akun loginuntuk situs e-commerce internasional, akun login untuk penyedia layanan online payment, dan lain-lain," tutur Go-Jek.

Layanan pemesanan transportasi lewat aplikasi itu menyatakan telah mengambil langkah pencegahan.

"Go-Jek telah mengidentifikasi risiko ini sejak dini dan telah membekukan password dari akun-akun Go-Pay yang terkena dampak dari praktik ilegal ini," kata Go-Jek.

Sementara itu, Go-Jek juga mengaku sudah mengembalikan dana Go-Pay yang telah terpakai, meski yang diretas bukanlah sistem mereka.

Pelajaran yang dipetik

Hikmah atau pelajaran yang bisa dipetik dari kasus ini adalah, hendaknya pengguna aplikasi memakai username (e-mail) untuk logindan password yang berbeda-beda untuk aplikasi yang berbeda pula.

Satu username (e-mail) dan password jika sudah dicuri oleh peretas, bisa dipakai untuk membobol akun-akun lain.