Masih tentang akun Gojek

Seorang kawan terkena masalah gagal login akun Gojek hari ini, sama seperti yg saya alami beberapa hari yang lalu.

Untuk kasus yang saya alami sebelumnya, saya sudah coba kontak call center.

Mula-mula petugas call center berkeras bahwa login hanya bisa dilakukan hanya dengan OTP. Kemudian saya sampaikan bahwa no ponsel yang tertera itu bukan nomor ponsel saya. Saya hanya meminta agar akun dengan email budi241@gmail.com itu dapat saya ambil alih kembali. Saya tanyakan juga, mengapa nomor ponsel di akun tersebut bisa berubah.

Respon sementara: saya diminta menunggu pemberitahuan penyelesaian masalah yg akan dikirim ke email saya.

Investigasi berlanjut…

Saya coba cek lagi prosedur registrasi dan login. Ada beberapa hal yg masih jadi tanda tanya:

1. Untuk registrasi, pengguna diminta memasukkan alamat email, nama, no ponsel dan password. Agak aneh karena tidak ada prosedur retype password seperti pada umumnya.

2. Untuk prosedur login, pengguna diminta memasukkan no-ponsel atau alamat email dan kemudian sistem Gojek akan mengirimkan OTP ke nomor ponsel yang sudah terdaftar. Terakhir, pengguna memasukkan OTP (atau OTP akan masuk secara otomatis) dan kemudian proses login berlanjut dengan berhasil ataupun gagal. Yang jadi pertanyaan saya, password yang dientri ketika registrasi tadi kira-kira digunakan dalam kasus/kondisi seperti apa ya? Lazimnya, prosedur login menggunakan username (alamat email atau no-ponsel) dan password sedangkan OTP hanya digunakan untuk beberapa kondisi yang memerlukan otentikasi lebih ketat.

3. Dalam kasus pengguna tidak dapat menggunakan no-ponsel yg terdaftar, Gojek sepertinya menyediakan prosedur lain. Dalam form login ada tombol “contact us” (in case you don’t have access to your registered phone number).  Saya coba kontak call center untuk memeriksa apakah ada loop-hole yg bisa digunakan oleh penyerang. Ternyata, call center menyatakan login hanya dapat dilakukan dengan memasukkan OTP yg dikirimkan ke registered-ponsel-number.

Tadinya saya berniat menyarankan pengguna lain untuk memperbarui password guna mencegah kasus yang sama. Namun ternyata login malah langsung menggunakan OTP.

Demikian temuan sementara. Semoga bermanfaat!

Iklan

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s