Saat membuat script PHP tambahan cookies untuk SMUO gempar.com, saya bertanya-tanya apakah yang mengalami kesulitan kontak ke gempar.com itu hanya saya saja? Ternyata ada sebuah blog baru yang saya temukan secara tidak sengaja dan membahas masalah kesulitan after sales dan hole di script SMUO gempar. Apa yang ditulis di blog tersebut cukup membuat saya terkejut, menurut blog tersebut, script smuo gempar ternyata benar-benar ditanami exploit oleh pembuatnya.
Saya menulis artikel ini dengan asumsi informasi yang ada di blog tersebut benar.
Setelah membaca blog tersebut, saya segera cek script yang ada di sana. Ternyata dalam script tersebut benar-benar ada script khusus yang memungkinkan pembuat script untuk melakukan akses back door ke smuo. Saya memang pernah mendengar hal ini tapi belum melihat buktinya sendiri. Sebagai pembeli resmi gempar, saya benar-benar kaget. Mengapa?
Saya paham bahwa pembuat script SMUO gempar tersebut ingin mengamankan scriptnya dari pembajak software. Tujuannya adalah agar saat mereka menemukan ada pengguna script SMUO yang tidak resmi, maka Gempar bisa melakukan tindakan pada web site yang menggunakan script tidak resmi tersebut. Kalau saya baca, mereka paling tidak bisa menghapus semua database yang ada. Ugh...very dangerous menurut saya.
Nah, sayangnya, bagi pembeli resmi gempar, saya justru merasa sangat tidak aman dengan adanya hole buatan tersebut, karena pihak-pihak lain yang berniat kurang baik jug abisa memanfaatkan hole tersebut untuk mengakses web site e-commerce yang sudah dibuat dengan susah payah. Akibatnya juga kita bisa kehilangan seluruh database kita dan ada dampak lain yang tidak akan saya bahas di sini. Kehilangan database artinya kehilangan nyawa bisnis kita kan? Karena semua kontak dan data peserta ada di sana semua. Itu sama saja dengan memberikan kunci rumah kita pada kontraktor rumah dan calon maling :).
Menurut saya pribadi, apa yang dilakukan oleh gempar (jika memang benar seperti itu) sangat tidak etis dan kurang memikirkan dampaknya. At least mereka bisa menginformasikan pada pembelinya mengenai hal tersebut, sehingga kita bisa putuskan akan jadi beli atau tidak. Tapi yah, apa yang bisa saya harapkan, lha dihubungi saja tidak bisa apalagi mengharapkan hal seperti itu.
Jadi, bagi para pengguna SMUO yang tidak memiliki kemampuan programming, saya sarankan untuk melakukan backup rutin database dan file untuk menjaga hal-hal yang tidak menyenangkan sendainya ada orang jahat merusak web site anda melalui hole tersebut.
Saya sendiri akan melakukan adjust di script SMUO tersebut untuk menutup hole yang ada.
Mudah-mudahan bermanfaat.
