• icon021-84595695
  • iconsatsiber@mabestni.mil.id

Berita & Artikel

Peringatan Keamanan

Bug Bounty, Dunia Halal Hacker Dapatkan Uang Miliaran


2022-03-07


Milcsirt-tni.id – Pertama kali mendapatkan sebuah celah keamanan (bug) pada sebuah aplikasi , Kattie Paxton-Fear (@InsiderPhD) berpikir “itu sebuah keberuntungannya saja”.

Pasalnya, ia tidak memiliki pengalaman di bidang keamanan siber, dan hanya menjadi pengembang dan programmer.

Namun, perempuan yang bergelar PhD dari Cranfield University (@CranfieldDefsec) itu berhasil mendapati bug di acara yang didaftarkan oleh temannya. Acara itu suatu kali berlangsung di London, para peretas (white hat) berlomba-lomba mencari kerentanan di perangkat lunak yang disiapkan.

Acara itu memang mendorong para peretas mencari kelemahan dalam perangkat lunak. Tak jauh berbeda dengan cara peretas (black hat) melakukan serangannya, para peserta dalam acara ini juga melakukan hal yang sama dengan penyerang. Bedanya, peserta itu tidak menyebabkan kerusakan atau mencuri data seperti cara penyerang, melainkan mencari kerentanan agar pemilik sistem elektronik itu segera menambalnya.

Apa yang dilakukan Paxton itu disebut dengan bug bounty.

Paxton kini dikenal sebagai pemburu bug alias bug hunter. Tak sekadar menemukan kerentanan, Paxton juga menulis laporan tentang temuannya itu kepada pemilik sistem.

Dengan begitu, perusahaan dapat memperbaiki masalah yang ditemukan sebelum peretas menemukan kelemahan dan mengeksploitasinya.

“Ini seperti bermain layaknya Sherlock Holmes (karakter detektif karya Sir Arthur Conan Doyle, red), Anda merasa seperti detektif,” ujar dia seperti dikutip dari ZDNet, 16 November 2020.

Ia pun kecanduan sejak pertama kali melaporkan temuannya, meski saat pertama kali menuliskan temuannya, ia mengaku tangannya gemetaran. Sejak itu, dia mengikuti bug bounty lagi dan menemukan 30 bug keamanan.

Paxton mengatakan, keterampilan besar dalam bug bounty ini yang sulit untuk diajarkan adalah intuisi. “Semua yang saya lakukan, saya mengikuti intuisi saya. Itulah yang terlihat menarik dan yang tidak terlihat benar,” katanya.

Paxton mengatakan penghasilannya dari bug bounty ini sebagai “uang jajan”. “Bagi saya ini adalah hobi, tapi saya sangat menikmatinya,” kata Paxton.

Namun, bagi sebagian lain fokus pada bug bounty adalah “profesi”. Ada perusahaan yang memang menjalankan program bug bounty secara sendiri, tapi ada yang bekerja sama dengan komunitas atau pihak ketiga.

Menurut HackerOne, perusahaan yang mengorganisasi acara bug bounty yang diikuti Paxton, di komunitasnya terdapat sembilan peretas kini telah mendapatkan lebih dari US$1 juta masing-masing sebagai imbalan untuk menemukan kerentanan. Tiga belas orang lainnya mendapatkan bayaran US$ 500.000, dan 146 peretas mendapatkan masing-masing US$ 100.000.

Mereka tergabung melalui platform HackerOne dan menghasilkan hampir US$ 40 juta pada 2019. Dengan kata lain, penghasilan dari mencari dan menemukan bug, nilainya sungguh fantastis juga, yang tidak hanya sekadar “untuk uang jajan”.

Selain Paxton ada pula Tommy DeVoss (@thedawgyg) (foto di bawah ini).

DeVoss dulu seorang peretas black hat , tapi kini beralih menjadi pemburu bug bounty.

Ia termasuk salatu hacker dengan penghasilan fantastis hingga puluhan miliaran rupiah. DeVoss mencari bug beberapa hari dalam seminggu, mencari hal-hal yang berubah pada sistem yang ditargetkannya, dan sesekali memeriksa bug lama untuk melihat apakah ada perubahan atau kekurangannya kembali.

"Tidak ada dari kami yang memiliki keahlian sama dan saya pikir itulah mengapa kami semua bisa sukses pada saat yang sama, alih-alih bertarung satu sama lain untuk bug yang sama persis," katanya.

Termotivasi karena film

Berdasarkan survei HackerOne, peneliti keamanan atau pencari bug mengatakan seluruh pendapatan mereka berasal dari peretasan. Lebih dari setengahnya atau setidaknya 50 persen dari pendapatan mereka berasal dari peretasan.

HackerOne mencatat nilai rata-rata yang dibayarkan untuk penemuan kerentanan kritis yakni US$ 3.650, sedangkan jumlah rata-rata yang dibayarkan per kerentanan adalah US$ 979.

Para pemburu itu kebanyakan berusia muda di bawah 35 tahun (80 persen) dan hanya setengah dari satu persen berusia di atas 50 tahun. Semuanya didominasi oleh laki-lak dan hanya 10 persen perempuan atau non-biner.

Berdasarkan latar belakang pendidikan, tiga perempat memiliki gelar atau kualifikasi pascasarjana dalam pemrograman komputer atau ilmu komputer. Hanya 14 persen yang tidak memiliki pelatihan sama sekali. Namun, dalam hal peretasan, hampir semuanya menggambarkan dirinya belajar secara otodidak.

Dari segi bayaran, menurut Bugcrowd, platform sejenis HackerOne, 38 persen pemburu bug lebih banyak mendapatkan bayaran pada 2019 dibandingkan tahun sebelumnya.

Data Bugcrowd juga menunjukkan bahwa peretas yang melakukan pencarian bug aktif pada malam hari lebih banyak (73 persen) ketimbang di pagi-siang hari (13 persen). Hampir setengahnya menghabiskan empat jam atau kurang untuk mengerjakan bug dan hanya 8 persen yang kerja keras di mana bekerja lebih dari 30 jam seminggu.

Motivasi dari berbagai peretas pun berbeda, seperti Santiago Lopez, salah satu kelompok elite peneliti berbayar jutaan dolar dari HackerOne, dirinya tertarik memburu bug setelah melihat film Hackers. Ia mendapatkan bug bounty pertamanya pada 2016 ketika berusia 16 tahun. Lopez pun menjadi peretas pertama pada HackerOne yang menghasilkan satu juta dolar.

"Yang terpenting, memiliki keingintahuan untuk ingin memecahkan masalah," katanya.

Ada pula pencari bug bernama Mico Fraxix yang tertarik dengan peretasan karena sebuah film The Interview.

Fraxix yang bekerja sebagai insinyur TI ketika itu semakin terpicu untuk terjun pada keamanan komputer. Fraxix pun memiliki dua pilihan saat itu untuk terjun pada keamanan komputer yakni menjadi pentester di sebuah perusahaan konsultan keamanan atau menjadi pemburu bug bounty.

Namun, menjadi pentester butuh gelar dalam keamanan siber. Untuk itu, awalnya dia memilih menjadi pemburu bug bounty, meski pada akhirnya penghasilan dari bug bounty-nya membuatnya beralih ke pentester.

"Ketika saya pertama kali membaca online bahwa meretas perusahaan tidak dituntut atas tindakanan itu, saya sangat senang dan kagum," katanya.[]

Redaktur: Root.geek