Cyberthreat.id – Peneliti keamanan siber juga bug hunter asal Mesir, Alaa Abdulridha, mendapatkan hadiah sebesar US$ 54.800 dari Facebook setelah menemukan kerentanan.

Jika diketahui oleh penyerang, kerentanan itu bisa dieksploitasi untuk mendapatkan akses ke beberapa sistem internal Facebook, demikian seperti dikutip dari SecurityWeek, diakses Senin (22 Maret 2021).

Ia mengumumkan hadiah tersebut sekaligus mempublikasikan laporan temuannya di akun Twitter-nya (@alaa0x2) pada 19 Maret lalu.

“Bagian kedua dari artikel saya tentang bagaimana saya meretas Facebook. Total bounty: US$54.800. Dua akun pengambilalihan dan internal SSRF,” tulis Alaa.

Hadiah tersebut merupakan kedua selama tiga bulan terakhir. Sebelumnya, pada Desember 2020, ia juga baru saja menerima hadiah sebesar US$7.500 karena menemukan kerentanan dalam layanan yang digunakan oleh divisi hukum Facebook.

Pada kerentanan pertama yang ditemukan, menurut Alaa, celah keamanan bisa dieksploitasi untuk mengatur ulang kata sandi akun apa pun untuk aplikasi web yang digunakan secara internal oleh karyawan Facebook.

Dalam temuan kedua, Alaa sebetulnya masih menganalisis aplikasi yang sama dengan sebelumnya. Ia pun berhasil mendapatkan akses ke hal lain.

Ia mengkaim dapat meluncurkan serangan pemalsuan permintaan sisi server (server-side request forgery/SSRF). Selain itu, ia mengaku dapat mengakses ke jaringan internal Facebook.

Facebook menggambarkan hal tersebut sebagai “serangan di mana peretas dapat mengirim permintaan HTTP ke sistem internal dan membaca responsnya.”

“Saya dapat memindai port server lokal dan menelusuri aplikasi lokal/aplikasi web yang digunakan perusahaan dalam infrastruktur mereka,” kata peneliti tersebut kepada SecurityWeek.

"Saya yakin kerentanan seperti itu jika di tangan yang salah dapat ditingkatkan ke RCE (remote code execution) dan dapat menimbulkan risiko besar bagi perusahaan dan pelanggannya."

Alaa juga mengklaim serangan pengambilalihan akun juga dimungkinkan mengakses akun aplikasi Facebook internal lainnya. Namun, Facebook mengatakan, tidak menemukan bukti yang menunjukkan bahwa cacat tersebut dapat meningkat untuk mengakses akun internal lainnya.

Facebook mengklarifikasi bahwa kerentanan yang dilaporkan oleh benar-benar memengaruhi layanan pihak ketiga yang dirancang untuk menandatangani dokumen dan memengaruhi siapa pun yang menggunakan layanan ini, bukan hanya Facebook.

Dalam perbaikan sistem yang telah dilakukan pada Februari lalu, perusahaan bekerja sama dengan pihak. Perusahaan juga membantah bahwa temuan kedua tersebut dapat ditingkatkan ke eksekusi kode jarak jauh (RCE).

Sejauh ini, Facebook menuturkan, belum menemukan bukti eksploitasi jahat di alam liar.[]

Anda bisa baca laporan Alaa di blog pribadinya di sini.

Redaktur: Andi Nugroho