Tiktok Gelar Program ”Bug Bounty” Berhadiah hingga Rp 200 Juta
›
Tiktok Gelar Program ”Bug...
Iklan
Tiktok Gelar Program ”Bug Bounty” Berhadiah hingga Rp 200 Juta
Tiktok mengikuti jejak para raksasa teknologi, seperti Apple dan Google, untuk bekerja sama dengan peretas eksternal guna menemukan celah keamanan yang tak terdeteksi sebelumnya melalui program ”bug bounty”.
Oleh
SATRIO PANGARSO WISANGGENI
·4 menit baca
JAKARTA, KOMPAS — Kolaborasi dengan peretas untuk menemukan celah keamanan menjadi pilihan yang semakin banyak dilakukan oleh perusahaan teknologi. Program bug bounty semacam ini dapat menunjukkan potensi ancaman yang mungkin tidak terpikir oleh tim keamanan internal.
Platform media sosial berbagi video Tiktok pada Jumat (16/10/2020) akhir pekan lalu meluncurkan program bug bounty global bekerja sama dengan platform Hackerone. Bug bounty adalah program di mana peretas yang menemukan celah keamanan akan mendapat hadiah.
Global Security Business Operations Lead Tiktok Luna Wu mengatakan, lanskap keamanan siber terus berkembang dan berubah sehingga sebuah kerja sama dengan para peretas eksternal diperlukan untuk menemukan celah keamanan.
”Kerja sama ini akan membantu (Tiktok) untuk mendapatkan insights dari para peneliti keamanan siber top dunia, para akademisi, dan ahli independen untuk memperkuat keamanan Tiktok,” kata Wu.
Apabila berhasil menemukan celah keamanan, Wu meminta para peneliti untuk dapat mengirimkan laporan melalui form yang sudah disediakan pada tautan laman Tiktok di https://www.tiktok.com/whitehat/report.
Tiktok memberikan hadiah sesuai dengan kategori tingkat kerawananannya. Untuk tingkat kerawanan rendah, peretas akan diberi imbalan sebesar 50-200 dollar AS (Rp 736.000-Rp 2,9 juta); kategori menengah sebesar 200-1.700 dollar AS (Rp 2,9 juta-Rp 25 juta); tingkat tinggi sebesar 1.700-6.900 dollar AS (Rp 25 juta-Rp 100 juta), dan tingkat kritis atau critical sebesar 6.900-14.800 dollar AS atau senilai dengan Rp 100 juta-Rp 218 juta.
Hal ini disambut baik oleh para peneliti keamanan siber. Principal security strategist di firma keamanan siber Synopsys Tim Mackay, mengatakan, program semacam ini akan meningkatkan keamanan platform.
”Program semacam ini dapat menarik peneliti dengan yang beragam dan dapat melihat keamanan Tiktok dari perspektif yang mungkin berbeda dengan apa yang dimiliki oleh tim keamanan internal Tiktok,” kata Mackay kepada Threatpost.
Hingga awal tahun ini pun, Tiktok masih ditemukan banyak memiliki celah keamanan yang berbahaya. Pada Januari 2020, firma keamanan siber Check Point berhasil menemukan celah keamanan yang memungkinkan pelaku memanipulasi akun pengguna Tiktok.
Para peneliti menunjukkan bahwa pelaku yang tidak memiliki akses dapat menghapus video milik seorang pengguna, mengunggah video ke akun pengguna lain, membuat video yang private menjadi public, hingga mendapatkan informasi personal yang dirahasiakan.
Mackay mengatakan, kebijakan ini mengikuti apa yang sudah dilakukan oleh banyak raksasa teknologi dunia lainnya. Terbaru, pada pada akhir 2019 untuk pertama kali Apple membuka program bug bounty internal mereka untuk publik. Hasilnya, sejumlah celah keamanan yang berbahaya bisa ditemukan.
Pekan lalu, Apple bahkan membayar peretas sebesar Rp 4,2 miliar sebagai hadiah atas menemukan 55 celah keamanan pada berbagai layanan dan aplikasi web yang digunakan oleh Apple.
Dalam program bug bounty yang digelar oleh Apple, hadiah yang ditawarkan dapat mencapai 1 juta dollar AS atau sekitar Rp 14,7 miliar.
Google bahkan telah menggelar program bug bounty yang bernama ”Vulnerability Reward Program” sejak November 2010 yang mencakup seluruh layanan Google yang terdapat pada mesin pencarian Google, platform video Youtube, dan blog Blogger. Hadiah terbesar yang bisa didapatkan adalah 31.337 dollar AS atau sekitar Rp 461 juta.
Google juga memiliki program bug bounty untuk seri ponsel pintar Google Pixel dengan hadiah mencapai 1 juta dollar AS.
Secara terpisah, bersamaan dengan pengumuman Tiktok, sejumlah data yang berhasil dibobol dari dua perusahaan pengembang gim terkemuka Ubisoft dan Crytek dibocorkan di situs jaringan gelap internet atau dark web oleh sindikat ransomware bernama Egregor.
Ubisoft adalah pengembang dari sejumlah gim terkenal, seperti Assassin’s Creed, Watch Dogs, dan Prince of Persia.Sementara Crytek adalah pengembang dari gim seri Crysis dan Ryse: Son of Rome.
Egregor mengklaim telah mendapatkan sejumlah data dari jaringan internal milik dua perusahaan itu. Sindikat itu mengklaim telah mendapatkan source code atau kode pemrograman sumber dari gimnya yang baru akan dirilis pada akhir Oktober ini, yakni Watch Dogs: Legion.
Namun, ini belum bisa dikonfirmasi apakah klaim ini benar berdasarkan data yang dibocorkan oleh Egregor. Data yang dibocorkan sebesar 20 megabytes (MB).
Sementara yang diklaim berasal dari Crytek, Egregor membocorkan data sebesar 300 MB. Data yang dibocorkan adalah sejumlah dokumen perusahaan, termasuk notulensi rapat dan tabel rencana kerja.
Berdasarkan laporan Zdnet, Ubisoft sejak 2019 lalu telah diingatkan oleh peretas mengenai celah keamanan yang ada pada sistem internal mereka, bahwa ada sejumlah karyawan Ubisoft yang terkena phishing.
Hingga kini, baik Ubisoft maupun Crytek belum memberikan keterangan resmi terhadap insiden tersebut.