Seorang
peretas (hacker)
baru-baru ini dipekerjakan oleh toko online Bukalapak.
Peretas ini diketahui berhasil menemukan celah keamanan laman Bukalapak.
"Jadi anak ini memang pintar banget, dia anak Institut Pertanian Bogo (IPB) yang bisa memukan celah atau bug di Bukalapak dan di tempat lain juga. Setelah kejadian, Bukalapak memberikan reward Rp 15 juta," kata Founder sekaligus CEO Bukalapak Achmad Zaky ketika dihubungi Tekno Liputan6.com, Rabu (20/7/2016) di Jakarta.
Zaky mengatakan, Bukalapak menghargai anak muda yang berhasil menemukan celah seperti ini di sistem Bukalapak. Menurutnya, setiap sistem yang dibangun pasti memiliki kelemahan.
Karenanya, Bukalapak selalu memberikan hadiah kepada mereka yang berhasil menemukan celah dan melaporkannya.
"Jadi anak ini memang pintar banget, dia anak Institut Pertanian Bogo (IPB) yang bisa memukan celah atau bug di Bukalapak dan di tempat lain juga. Setelah kejadian, Bukalapak memberikan reward Rp 15 juta," kata Founder sekaligus CEO Bukalapak Achmad Zaky ketika dihubungi Tekno Liputan6.com, Rabu (20/7/2016) di Jakarta.
Zaky mengatakan, Bukalapak menghargai anak muda yang berhasil menemukan celah seperti ini di sistem Bukalapak. Menurutnya, setiap sistem yang dibangun pasti memiliki kelemahan.
Karenanya, Bukalapak selalu memberikan hadiah kepada mereka yang berhasil menemukan celah dan melaporkannya.
"Celah
di mana pun pasti ada, kepada mereka yang menemukan celah dan melaporkannya
kepada kami, pasti kami beri reward," ujarnya.
Kejadian penemuan celah di sistem Bukalapak ini bukan pertama kalinya. Sebelumnya, beberapa kali Bukalapak pernah memberikan hadiah serupa kepada para peretas yang berhasil menemukan celah dan melaporkannya kepada perusahaan.
Menurut Zaky, reward yang diberikan kepada peretas yang diketahui bernama Herdian Nugraha itu merupakan yang paling besar yang pernah diberikan Bukalapak.
Kejadian penemuan celah di sistem Bukalapak ini bukan pertama kalinya. Sebelumnya, beberapa kali Bukalapak pernah memberikan hadiah serupa kepada para peretas yang berhasil menemukan celah dan melaporkannya kepada perusahaan.
Menurut Zaky, reward yang diberikan kepada peretas yang diketahui bernama Herdian Nugraha itu merupakan yang paling besar yang pernah diberikan Bukalapak.
Lantaran
peretas muda itu juga memiliki ketertarikan untuk bekerja di Bukalapak, melalui
seleksi yang dijalankan ia pun diterima bekerja di startup yang didirikan awal
2010 itu.
"Karena tertarik juga untuk bergabung di Bukalapak, melalui seleksi, dia diterima di Bukalapak dan bekerja mulai Senin kemarin," ucap Zaky.
"Karena tertarik juga untuk bergabung di Bukalapak, melalui seleksi, dia diterima di Bukalapak dan bekerja mulai Senin kemarin," ucap Zaky.
Herdian, nama hacker tersebut, menuliskan dalam blog pribadinya mengenai keberhasilannya meretas beberapa laman toko online, termasuk Bukalapak. Dalam tulisannya, disebutkan semuanya berasal dari rasa iseng setelah melihat fitur file upload di laman profile.
Ia bertutur, pikirannya langsung mengarah pada celah bernama ImageTragick. Selanjutnya, ia mulai melakukan peretasan dan melaporkannya kepada pihak Bukalapak.
Atas keberhasilannya menambah celah beberapa situs ternama di Indonesia itu, Herdian lalu mendapatkan sejumlah reward.
"Perlu dicatat, dalam kasus ini tidak ada pihak yang dirugikan. Untuk me-report dan dapat reward dan yang dikasih report dapat nge-patch aplikasinya lebih aman, win-win," tulis Herdian di dalam blog pribadinya.
Praktisi
keamanan komputer bernama Herdian Nugraha menemukan celah keamanan dalam
situs-situs belanja online, Tokopedia, Bukalapak, dan situs pesan desain online, Sribu.com.
Herdian
mengaku bisa membobol situs-situs milik startup Indonesia tersebut dan kemudian
menginformasikannya ke pihak terkait.
"Saya
sedang mencari-cari barang di Bukalapak. Lalu melihat fitur upload foto profil,
nah di situ saya mulai iseng untuk mencoba-coba apakah di fitur tersebut ada
celah. Ternyata ada," ujar Herdian saat dihubungi KompasTekno, Rabu
(20/7/2016).
Dalam situs blog pribadinya, Herdian
membeberkan metode pembobolannya. Ia mengakses server ketiga situs dengan
memanfaatkan celah keamanan bernama ImageTragick.
Celah
keamanan ImageTragick, dikutip KompasTekno dari Mail.ru, memanfaatkan kelemahan
ImageMagick, piranti lunak yang biasa digunakan oleh layanan web untuk
memproses foto atau gambar. Bug tersebut ditemukan oleh peneliti keamanan
Nikolay Ermishkin pada Mei 2016 lalu.
Untuk
membobol server, Herdian kemudian membuat file MVG (ImageMagick Vector Graphic)
yang telah dimodifikasi yang kemudian disimpan dalam format JPG/PNG/GIF untuk
diunggah di situs Tokopedia, Bukalapak, dan Sribu.
Setelah file
gambar yang dimodifikasi itu diunggah, Herdian pun mendapatkan hak penuh akses
server di ketiga situs. Di sana, ia bisa mendapatkan data penting, seperti
alamat e-mail dan password pengguna.
"Sebenarnya
jika konfigurasi server-nya lemah, mungkin satu sistem itu sudah bisa kontrol
dan beberapa data-data pengguna bisa diambil," terang Herdian.
Di antara
ketiga target yang dicoba oleh Herdian, sebenarnya lapisan keamanannya cukup
baik. Namun Bukalapak diakuinya cenderung lebih sulit karena secara rutin meng-update
sistem.
Langkah-langkah
yang diungkap oleh Herdian terlihat sederhana namun sesungguhnya memerlukan
kemampuan pemrograman yang cukup mumpuni.
Herdian
mendokumentasikan cara menggunakan celah keamanan ImageMagick dalam blog-nya.
Herdian juga mengaku tindakannya itu bukan ditujukan untuk merusak.
Dokumentasi
celah keamanan itu pun diserahkan Herdian ke Tokopedia, Bukalapak, dan Sribu
pada Juni lalu dan langsung mendapat respon dari masing-masing situs.
Berdasarkan
informasi tersebut, ketiga situs tersebut langsung menutup celah keamanan yang
dilaporkan Herdian. Langkah-langkah yang dibeberkan Herdian pun saat ini sudah
tidak mempan untuk membobol situs-situs tersebut.
Mendapat
hadiah dan direkrut Bukalapak
Bukalapak
merespon laporan dengan memberi ucapan terima kasih ke Herdian berupa uang Rp
15 juta, Tokopedia memberikan sertifikat dan uang Rp 10 juta, sedangkan Sribu
mengucapkan terima kasih.
“Kami memang
menghargai laporan yang sifatnya vulnerability bug. (Hadiah yang diberikan)
bervariasi, sesuai dengan tingkat vulnerability yang dilaporkan,” ujar CEO
Tokopedia, William Tanuwijaya saat dihubungi KompasTekno, Rabu (20/7/2016).
CEO
Bukalapak, Achmad Zaky saat juga mengakui keberadaan celah keamanan yang
ditemukan oleh Herdian. Celah tersebut pun sudah ditutup dan pria yang
menemukannya diganjar hadiah sekaligus direkrut menjadi karyawan Bukalapak.
“Benar (ada
celah keamanan dan hadiah untuk pelapornya). Bahkan Google dan Facebook juga
punya vulnerability juga kan, kadang-kadang. Ya hacker kan ada
yang baik dan jahat, kalau yang baik tentu laporan,” ujarnya.
Herdian pun
di blog-nya mengaku saat ini Bukalapak telah mempekerjakannya. "Bukalapak
sendiri mengapresiasi positif ke saya dengan menawarkan posisi security
engineer," ujar Herdian.
Sumber
Tidak ada komentar:
Posting Komentar