TRIBUNNEWS.COM, JAKARTA - Akhir pekan lalu, sistem aplikasi GoJek mengirimkan pesan singkat (SMS) kepada para penggunanya.

Isinya berupa informasireset password akun pelanggan secara otomatis oleh pihak Gojek sendiri.

"Untuk keamanan Anda, kami me-reset password GO-JEK Anda menjadi xxxxxx. Mohon cek instruksi email dan rubahlah password Anda dari yang sebelumnya," tulis SMS tersebut.

Anjuran penggantian password juga ditampilkn oleh GoJek di aplikasi resminya.

Hal itu dilakukan GoJek menyusul banyaknya akun-akun GoJek yang memiliki kredit Go-Pay di dalamnya yang diperjualbelikan di berbagai media sosial.

Kebanyakan akun Go-Jek tersebut dijual dengan imbalan uang. Tetapi tidak sedikit pula yang minta dibarter dengan pulsa operator seluler tertentu.

Banyak kasus pelanggan Go-Jek yang tiba-tiba menemui kredit Go-Pay-nya berkurang atau malah habis, padahal ia tidak menggunakannya.

Ist - Salah satu akun Facebook yang mengaku memiliki dan menjual akun GoJek dengan sejumlah kredit GoPay di dalamnya. 

Seperti yang dialami oleh seorang pengguna Go-Jek bernama Sangalian Jato. Ia curiga, akun miliknya diretas oleh pihak yang tidak bertanggung jawab.

Pasalnya, kredit di akun Go-Pay, layanan dompet digital milik Go-Jek, yang ia miliki tiba-tiba menyentuh angka Rp 0.

Padahal, kredit Go-Pay milik wanita yang akrab dipanggil Sali itu baru saja diisi ulang (top-up) beberapa hari sebelumnya.

"Jadi semua bermula ketika tadi pagi mau pesen Gojek, eh session expired dan disuru login lagi. Setelah login, lihat sekilas kog Gopay gue NOL?! Perasaan baru top up 200 ribu beberapa hari lalu?!" tulis Sali di halaman Facebook-nya.

Menurut Sali, ludesnya kredit Go-Pay miliknya itu terjadi pada Minggu (17/7/2016) siang. "Saya baru sadar pada Senin (18/7/2016) sore, sepulang kantor," ujarnya.

Penjelasan Go-Jek

Pihak Go-Jek yang dihubungi oleh KompasTekno memberikan penjelasannya.

Menurut hasil penyidikan yang dilakukan oleh Go-Jek, akun-akun yang banyak dijual di media sosial itu diambil dari layanan online lain di luar Go-Jek, yang memiliki protokol dan sistem keamanan yang pernah diretas.

"Para peretas (hacker) kemudian menemukan bahwa e-mail danpassword dari akun-akun tersebut sama dengan yang digunakan di akun-akun Go-Jek," tulis Go-Jek dalam keterangan resmi yang diterima oleh KompasTekno, Minggu (24/7/2016).

"Hal ini dapat terjadi karena banyak pengguna/pemilik akun menggunakan kombinasi e-mail dan password yang sama untuk berbagai akun online," imbuh juru bicara Go-Jek.

"Apa yang kemudian dijual oleh para hacker di berbagai platform media sosial adalah akun login dan password dari berbagai layanan pembayaran online lain, termasuk informasi di kartu kredit, akun loginuntuk situs e-commerce internasional, akun login untuk penyedia layanan online payment, dan lain-lain," tutur Go-Jek.

Layanan pemesanan transportasi lewat aplikasi itu menyatakan telah mengambil langkah pencegahan.

"Go-Jek telah mengidentifikasi risiko ini sejak dini dan telah membekukan password dari akun-akun Go-Pay yang terkena dampak dari praktik ilegal ini," kata Go-Jek.

Sementara itu, Go-Jek juga mengaku sudah mengembalikan dana Go-Pay yang telah terpakai, meski yang diretas bukanlah sistem mereka.

Pelajaran yang dipetik

Hikmah atau pelajaran yang bisa dipetik dari kasus ini adalah, hendaknya pengguna aplikasi memakai username (e-mail) untuk logindan password yang berbeda-beda untuk aplikasi yang berbeda pula.

Satu username (e-mail) dan password jika sudah dicuri oleh peretas, bisa dipakai untuk membobol akun-akun lain.