Apple menghadiahi para peretas yang menemukan celah keamanan mereka uang tunai sebesar Rp 4,2 miliar. Butuh tiga bulan bagi para peretas untuk menemukan segala celah keamanan Apple. Sebanyak 55 lubang ditemukan.
Oleh
SATRIO PANGARSO WISANGGENI
·3 menit baca
ARSIP SAM CURRY
Melalui surel, Sam Curry dan kolega berhasil mengakses isi akun iCloud. Dalam keterangannya yang dipublikasikan pada Rabu (7/10/2020) melalui blog pribadinya, Curry mengatakan, sebuah kode tersembunyi dapat dilampirkan ke dalam sebuah surel untuk mengakses isi iCloud dari target. Itu adalah salah satu dari 55 celah keamanan yang ditemukan Curry dan kawan-kawan.
JAKARTA, KOMPAS — Satu grup ethical hacker atau peretas etis menghabiskan waktu tiga bulan untuk berupaya menemukan celah keamanan pada jaringan teknologi informasi milik Apple. Sebanyak 55 lubang atau celah keamanan pun ditemukan. Apple menghadiahi kelompok peretas etis ini uang sebesar 288.500 dollar AS atau sekitar Rp 4,2 miliar.
Sejumlah celah keamanan ini tergolong critical, salah satunya adalah pencurian data dari layanan penyimpanan awan iCloud melalui surel yang berisi kode pemrograman khusus. Celah keamanan lain, memungkinkan peretas mengambil alih akun milik Apple di sebuah aplikasi industri. Melalui akun tersebut, peretas akan dapat mengganggu sistem inventarisasi barang industri milik Apple.
Penemuan celah keamanan ini merupakan hasil kerja lima peretas asal Amerika Serikat, Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb, dan Tanner Barnes, selama tiga bulan, 6 Juli hingga 6 Oktober lalu.
Melalui posting-an blognya pada Rabu (7/10/2020), Curry merinci sebagian celah keamanan yang dia dan kelompoknya temukan. Dari total 55 celah keamanan yang ditemukan, 11 digolongkan sebagai tingkat critical, 29 tingkat tinggi, 13 tingkat menengah, dan 2 tingkat rendah.
”Saya belum pernah bergabung di program bug bounty milik Apple. Untuk membuat proyek ini lebih seru, saya memutuskan untuk menghubungi sejumlah peretas yang saya pernah bekerja sama sebelumnya,” tulis Curry.
ARSIP SAM CURRY/TWITTER
Sam Curry, salah satu dari lima peretas yang berhasil menemukan celah keamanan pada infrastruktur jaringan Apple.
Curry mengatakan, per 6 Oktober, semua temuan tersebut telah berhasil diperbaiki oleh Apple. Sejauh ini, lanjutnya, mereka telah dibayar dengan total hadiah sebesar 288.500 dollar AS atau sekitar Rp 4,2 miliar. Namun, ini baru untuk 32 celah keamanan. Hadiah untuk 23 celah keamanan sisanya akan dibayarkan secara bertahap.
”Jadi, mungkin dalam beberapa waktu ke depan, Apple akan membayar sisa hadiahnya,” ujar Curry.
Dalam keterangan resmi kepada media, Apple mengapresiasi kerja para peretas. Raksasa teknologi yang berbasis di Cupertino, AS, tersebut juga menambahkan, saat ini semua celah keamanan yang ditemukan telah ditutup.
”Kami menghargai kolaborasi dengan para peneliti keamanan yang telah turut serta menjaga para pengguna kami tetap aman. Kami telah memberi pengakuan terhadap hasil kerja mereka dan memberikan mereka hadiah dari program Apple Security Bounty,” bunyi keterangan tersebut.
ARSIP APPLE
Hadiah atau bounty yang ditawarkan kepada peretas yang berhasil menemukan celah keamanan Apple.
Apple menambahkan, tidak ada bukti bahwa puluhan celah keamanan tersebut pernah dieksploitasi sebelumnya oleh penjahat.
”Di Apple, kami berjuang keras utuk melindungi jaringan kami. Kami memiliki tim khusus untuk mendeteksi dan merespons ancaman siber. Begitu kami mendapat peringatan dari (Curry dan kawan-kawan), kami langsung menutup celah keamanan tersebut,” kata juru bicara Apple.
Eksplorasi dalam mencari kelemahan juga menyingkap skala infrastruktur jaringan yang dimiliki Apple.
Di Apple, kami berjuang keras utuk melindungi jaringan kami. Kami memiliki tim khusus untuk mendeteksi dan merespons ancaman siber. Begitu kami mendapat peringatan, kami langsung menutup celah keamanan tersebut
Curry mengatakan, semua alamat IP (internet protocol) pada range 17.0.0.0/8 dikuasai Apple. Artinya, ada lebih dari 16 juta alamat IP yang dikuasai Apple. Apple juga memiliki 25.000 web server dengan 10.000 di antaranya di bawah domain apple.com dan 7.000 lainnya domain unik. Apple pun memiliki TLD (top level domain) sendiri, ”.apple”.
ARSIP APPLE
Hadiah atau bounty yang ditawarkan kepada peretas yang berhasil menemukan celah keamanan Apple.
Principal security strategist dari firma keamanan siber Synopsys Cybersecurity Research Center, Tim Mackey, mengatakan, melihat besarnya infrastruktur jaringan tersebut, tidak heran bahwa terdapat sejumlah celah keamanan.
Menurut dia, ini justru menunjukkan bagaimana Apple sejauh ini bisa sukses memelihara sistemnya yang begitu besar.
”Berbagai celah keamanan yang ditemukan (oleh Curry dan koleganya) lebih menunjukkan bagaimana sulitnya memelihara jaringan yang sebegitu besarnya,” kata Mackey kepada Business Insider.
Industri pencari celah keamanan siber tumbuh semakin besar tiap tahun, seiring dengan semakin besarnya ketergantungan masyarakat terhadap platform digital.
KOMPAS/the 2020 hacker report/hackerone
Aliran uang hadiah (bounty) peretasan yang melalui platform Hackerone berdasarkan laporan The 2020 Hacker Report. Kolom kiri adalah lokasi para hacker dan bounty yang diterima; kolom kanan adalah lokasi perusahaan yang memiliki program bug bounty dan total besaran hadiah yang ditawarkan.
Berdasarkan platform penyedia jasa bug bounty Hackerone, jumlah peretas etis terdaftar berlipat ganda selama tahun 2019, menjadi 600.000 orang secara global.
Meski asal peretas ini masih didominasi dari India (18 persen dari total temuan celah keamanan) dan AS (11 persen), diyakini peretas etis juga kian bertambah di seluruh dunia.
Selama tahun 2019 hingga Februari 2020, komunitas peretas etis secara global mendapatkan hadiah total sebesar 40 juta dollar AS pada 2019 atau setara Rp 587,1 miliar.
/https%3A%2F%2Fkompas.id%2Fwp-content%2Fuploads%2F2020%2F10%2F60339490-ff51-4556-95ca-f2a817dd439b_jpg.jpg){kind=logo}
