Surat Pembaca

Akun Gojek Tidak Aman, Mudah Diretas

Pada tanggal 1 Mei 2024, saya mendapatkan WA dari Gojek berupa kode OTP sebanyak 5x, dari dini hari hingga terakhir pukul 10:34 pagi.

Saya tidak pernah memberikan kode OTP tersebut kepada siapa pun, dan HP selalu berada di dekat saya. Setelah menerima OTP tersebut, saya beberapa kali mengecek akun Gojek saya, terpantau masih login di HP saya tanpa kendala. Saya merasa aman karena tidak pernah memberikan kode OTP ke siapa pun, dan akun saya masih terlogin di HP saya.

Hingga sekitar pukul 5 sore, tiba-tiba ada transaksi GoBills di akun Gojek saya sebanyak 3x, menggunakan kartu kredit yang tersambung di akun Gojek saya.

Setelah mendapatkan notifikasi transaksi, saya cek akun Gojek, ternyata sudah ter-logout. Saya segera memblokir kartu kredit dan menghubungi CS Gojek untuk menyanggah transaksi yang tidak saya lakukan tersebut.

Tanggal 2 Mei 2024, pihak Gojek menjawab laporan saya, intinya tidak bisa mengembalikan dana karena transaksi yang sudah saya konfirmasi tidak bisa dibatalkan.

Sudah jelas-jelas akun Gojek saya diambil alih oleh orang lain, bagaimana bisa saya konfirmasi transaksi yang akunnya sudah tidak ada di saya?

Yang saya sangat kecewa dari pihak Gojek, pertama adalah sistem keamanannya yang mudah sekali akun diretas tanpa ada perlindungan sama sekali, padahal jelas lokasi login dan device yang digunakan berbeda. Kedua, pihak Gojek lepas tangan, tidak ada niat membantu, seharusnya bisa void transaksi yang tidak saya lakukan itu.

Semoga dibaca pihak terkait dan dilakukan perbaikan sistem keamanan akun. Terima kasih.

William Tanudjaja
Surabaya, Jawa Timur

Artikel ini adalah buatan pengguna dan menjadi tanggung jawab penulisnya.
Bagikan

Belum Ada Tanggapan Atas Surat Pembaca Ini

Surat pembaca ini belum mendapatkan tanggapan dari pelaku usaha terkait. Jika Anda adalah pihak yang terkait dengan pertanyaan/permohonan/keluhan di atas, silakan berikan tanggapan resmi melalui tautan di bawah ini:

Komentar

  • Untung lihat ini. Secara tidak langsung Anda sdh membantu yg lainnya utk berhati-hati dalam penggunaan app gojek. Thanks banget. Repot banget klondahbkena kek gini. Bahkan sanggahan di kartu kredit pun bisa paling lama 3 bulan (klo Mandiri) itu pun perlu proses investigasi yg artinya bs jd ketolak sanggahan, klo nilainya besar gt apa gag tekor.

    • Yg pasti sih ngga pake OTP utk nominal receh, jutaan kurang tau krn ngga pernah. Saya rutin gofood/grabfood pake KK karena repot top up dan memang ngga mau endapin dana banyak. Byk KK sy yg tersimpan dan kalau gampang diretas, mungkin saya termasuk orang paling hoki karena ngga pernah ngalami. Dugaan saya kebocoran nya mgkn bukan di Gojek tapi lebih ke WhatsApp nya? (setau saya bisa login lebih dr 1 device, ada versi desktop nya jg). Jd lebih ke bocor OTP di sana.
      Utk kasus ini, mestinya gampang dilacak pelakunya, krn dipake bayar buat tagihan pascabayar PLN yg jelas ID meter dan ada namanya, alamat juga gampang ditelusuri jika pihak polisi & PLN mau bertindak.

      • Sepemikiran dengan hak ini. Kalau WA desktop digunakan dr komputer. Usahakan jangan asal undur software pajakan. Gunakan yang asli2 aja sih. Malware dimana2 bung

  • Transaksi kartu kredit di Gojek gak pake verifikasi CVV dan OTP? 🤔 Kalo di Toped, meski data kartu udah disimpen tapi tetap minta verifikasi CVV dan OTP kalo mau transaksi.

  • Itu hpnya sebelumnya udah kena malware, mungkin sebelumnya sudah unduh file tidak dikenal. Entah lewat WA,SMS atau email.

    • Setuju dengan salah satu pendapat di atas. HP anda kena malware. Bisa karena sering memakai wifi publik. Yang sedang marak adanya pesan & link palsu untuk update aplikasi. Atau secara tidak sengaja klik pop up-pop up jebakan yang bersliweran saat buka web/internet/artikel/aplikasi.

      Meskipun akun diambil alih, tapi akun tetap tercatat atas nama anda saat transaksi. Jadi hampir pasti transaksi di gojek tidak bisa dibatalkan. Kalau pun anda mengajukan sanggahan ke bank penerbit kartu kredit, kemungkinan kecil disetujui karena secara sadar anda menyambungkan kartu kredit pada satu (atau lebih) aplikasi yang sepenuhnya menjadi tanggung jawab nasabah. Investigasi akan mengarah pada valid nya transaksi berasal dari akun Gojek anda.

      Seharusnya sejak anda terima OTP2 pagi hari langsung tanggap dengan memututs sambungan CC pada seluruh akun.
      Semalas-malasnya saya tidak pernah menyambungkan CC untuk metode pembayaran otomatis di akun manapun.

      • @Yun Setuju... Salah satu kebiasaan saya utk mencegah peretasan ya ngga pernah mau terkonek ke wifi umum, baik itu resto atau hotel. Biar di rumah sy bayar internet unlimited hampir 500rb dan jarang (lebih ke hampir tidak pernah, sejak covid) ke luar rumah jika tidak benar" penting, tiap bulan tetap langganan paket data (walau mubazir krn jarang dipake) utk jaga" saat keluar atau listrik rumah padam sesaat tetap bisa streaming dan browsing, dll.
        Tambahan jg, byk cara yg dilakuin kaum peretas, kuncinya jgn panik dan lsg klik dsbnya. Yg terjadi belum seminggu lalu, ada telp masuk ke hp, saat dijawab, lsg ada orang bicara layaknya rekaman sistem otomatis utk mengingatkan tagihan dan sejenisnya, bunyinya kira": anda barusan bertransaksi 14jt di kartu mandiri, jika tidak melakukan... Tekan.... (saya lsg matikan hp), krn memang ngga pny KK mandiri. Dan kalaupun punya, lebih pilih lsg contact ke nomor resmi KK bersangkutan. Jebakan" sejenis lewat email jg banyak.

        • sama, saya juga pake internet telkomsel bulanan, dan ga pernah sambung wifi publik .... kecuali wifi republik dirumah saya sendiri, om
          saya cari aman , ga mau ada masalah

      • Betul, dari pagi ada notif kok nggak gercep ya?
        Dulu juga pernah mencantelkan Kartu Kredit ke aplikasi tertentu, tapi merasa nggak nyaman eh, akhirnya aku lepas lagi.

  • akun gojek saya juga tersambung dgn kartu debet bank, semua transaksi tdk pernah meminta lagi kode CVV atau OTP lewat no hp, sudah otomatis langsung debet. memang bahaya banget klo akun kita di retas orang.

  • Korban file .apk ini mah, sudah kelihatan banget, gojek yang di salahin, hmmm, sanggahan gak bakal di setujui

    • bisa ambil kesimpulan korban .apk lihat drmn pak? saya yakin 99% tidak pernah install apk sembarangan.
      saya curiga nya malah brute force otp, terbukti dr bbrp kali otp masuk, ditambah otp gojek cuma 4 digit.

      • Kombinasi 4 angka ada 10.000 macam.
        Kecil kemungkinan bisa main tebak,ya itu kemungkinan benar 1:10.000

        • didalam dunia hacking, ada yg namanya brute force
          dengan 10rb kemungkinan mah nggak perlu waktu lama

          • Teorinya seperti itu,prakteknya tidak semudah itu karena OTP request dan input manual.
            Tau lagi kalau kena spyware Pegasus yang cuma dgn miscall bisa kuasai HP kita, itu cuma buat orang penting. Kalau yang kasus gini ya kena malware kepencet sendiri,sengaja atau tidak.

          • Pernah bbrp kali ngalamin kasus serupa.
            Kasus pertama sebut aja platform A, begitu kita lapor, pihak platform langsung responsif dan diinvestigasi.
            Hasilnya ketahuan, pelaku adalah mantan karyawan yg sering nongkrong sama orang IT-nya dan tau seluk beluk kelemahan sistem.
            Next cas di BUKALAPAK, ada OTP masuk tapi ga ada yg telp minta OTP, tau² selamg bbrp menit saldo habis terkuras buat pengisian pulsa.
            Lapor ke bukalapak mereka lepas tanggung jawab.
            Alhasil smp skrng ga pernah lg pake bukalapak.
            Dan sebagai pembelajaran, ga pernah ada saldo mengendap banyak di platform apapun juga, serta ga pernah menautkan dg kartu² atau rekening bank apapun juga.

    • iya mungkin saja hp saya sudah terinfeksi malware, cuma yg disayangkan dari sistem keamanan gojek yg mudah sekali diretas, permintaan otp berkali kali, beda device, beda lokasi login, harusnya kan sudah ditandain sama sistem

      • Beda device dan lokasi login ga ngaruh pak, selama kode OTP yg dimasukkannya benar ya pasti bs login. Setau saya yg menerapkan klo beda device dan lokasi login trus ga bs langsung login itu cuma akun google aja tp itu pun harus mengaktifkan authentikasi 2 arah dmn jika ada yg mencoba login dgn device dan lokasi yg berbeda maka kita yg mempunyai akunnya akan mendapatkan notifikasi ada yg mencoba login dan kita diminta utk konfirmasi apakah itu benar kita atau bkn. Tp keamanan ganda itu pun msh bs kecolongan jg apabila pihak yg mencoba login itu mempunyai email ataupun device yg kita miliki sebelumnya (hp yg sdh dijual tp data2 kita msh ada di hp itu). Intinya sistem keamanan yg ada saat ini blm benar2 bs aman, msh bs diretas dan diakali oleh orang2 yg berniat jahat, semuanya tergantung dr kita nya aja utk hrs dan tetap berhati2 dlm menyimpan dan menggunakan data2 kita nya.

      • Hi, Tgl 8 Mei 2024 saya juga baru kena kejadian serupa. nominal kerugian sampai 23 juta. Tidak ada permintaan kode OTP sama sekali malahan. Saya sudah lapor gojek jg dan gojek tidak bs merefund dana tsb. sudah lapor pihak bank jg dan laporan sedang diproses.

        • Saya juga sama ka, akun gojek saya digunakan orang untuk transaksi pembayaran PLN pascabayar.. Kerugian 7 juta. Saat ini saya lagi menunggu pihak bank apakah penyanggahan transaksi disetujui atau tidak.

          • saya juga kak, saya jarang pakai gojek. paling buat bayar tagihan aja. sampai ga ngeh kl akun saya dibobol, gopaylater saya dipakai buat tagihan listrik orang kerugian 5jutaan. sy aja kl byr listrik sendiri cuma 300rb

  • semaksimal mungkin jangan masukkan kartu kredit ke aplikasi apapun , karena rentan sekali system IT nya , semoga masalahnya lekas selesai , lumayan juga nilainnya

    • Betul dan Setuju sekali,
      untuk beberapa aplikasi saya masukkan Kartu Debit Kosongan (dompet digital atau akun bank digital), yang hanya bisa terjadi transaksi jika saya top up.
      Apple ID saya saja, kartu kredit saya ganti dengan nomor akun digital. Soalnya sudah nggak pake. Mungkin juga sudah kena hack, karena sering muncul pesan lewat Email : Transaksi Anda Gagal. Hehehe.

  • Harus bisa dibatalkan itu kalo gojek mau kerjasama ke PLN jelas itu tagihan pasti ada pemiliknya kan

    • Dari dulu juga gampang di retas,, sama i't jalanan saja msh bisa di otak atik apalagi sm org yg sdh niatan mau maling, sdh pasti org2 ahli i't yg niat mbobol acount org.

    • tinggal PLN telusuri nomor ID pelanggan yang di bayar alamat dimana dan kerjasama dengan kepolisian..pasti tau siapa pelakunya...yang jadi permasalahan apakah mau di tindak lanjuti?? atau berapa lama tindak lanjutnya??

  • Wah aku juga mengalami bruteforce OTP Gojek. Ini setiap 3 jam dikirimi OTP. Aku gak pernah berikan dan Whatsapp sudah dipasskeykan dan diblokir dgn verifikasi sinyal

    • Yang jelas kalo pernah install aplikasi ga jelas sumbernya mnkn! Peretasan itu harus ada jalan masuk ke HP. Sperti apk undangan nikah dan semacamnya! Atau aplikasi GO-JEK mod misalnya.

      • Aku juga gak pernah install APK sembarangan dan Apps Pinjol Illegal di PlayStore. Ini mah gojek aja yang kebobolan

  • Sekedar tips :
    1. Non aktifkan saja transaksi kartu kreditnya kalau gak dipakai. Baru aktifkan kalau mau transaksi. Sedikit ribet di depan tapi lebih baik daripada ribet dan menyusahkan diri dibelakang. Kalau di BCA ada kontrol kartu kredit lewat myBCA. Mandiri kalau gak salah juga ada fitur blokir sementara lewat livin.

    2. Kalau pakai HP Samsung bisa masukin aplikasi2 yg berhubungan dg duit ke dalam secure folder (folder aman). Aktifkan juga fitur auto blocker biar gak bisa instal aplikasi sembarangan atau gak bisa akses link berbahaya.