Cyberthreat.id – Serangan ke situs web pemerintah atau swasta yang dilakukan peretas tak serta-merta karena motif uang atau unjuk kegagahan si peretas.

Dalam sejumlah kasus, peretasan “terpaksa” dilakukan lantaran pemilik situs web tak merespons atau mengapresiasi temuan para bug hunter atau  peretas topi putih terkait temuan celah keamanan yang bisa dieksploitasi untuk serangan siber lebih lanjut.

Hal itu diceritakan Galang Ardanni, pendiri komunitas peretas situs web pemerintah ItsTeam Sec, kepada Cyberthreat.id pada Kamis (6 Mei 2021).

“Saya enggak bakal nge-deface web tersebut, kalau saja saat melaporkan bug dan direspon dengan baik oleh pihak developer,” tutur Galang.

ItsTeam Sec beranggotakan anak-anak muda yang mencintai dunia bug hunter dan keamanan siber dari seluruh Indonesia. Galang mendirikan komunitas ini sejak Agustus 2020.

Selama kurang lebih dua tahun menjadi bug hunter, Galang mengaku sudah melakukan defacement attack terhadap 353 situs web baik milik pemerintah pusat dan daerah maupun swasta. Dari semua temuan kerentanan yang dia laporkan, hanya empat pengembang situs yang menerima laporannya dengan baik.

“Sejauh ini yang merespons saya, yang baik itu hanya ada empat pengelola situs web, dari LPMP Jogja, Jalurkerja.com, Universitas Muhammadiyah Sumtera Barat, dan Tukudodol.com,” ujar Galang.

Menurut Galang, dirinya dan kawan-kawan di komunitas melakukan serangan ke situs web dengan mengubah tampilan (deface) “sebenarnya tidak menuntut banyak dari developer, hanya meminta temuannya dikonfirmasi dan diberikan setifikat saja.”

“Setidaknya jika tidak bisa memberi apresiasi sejumlah uang, ucapan terima kasih atau sertifikat saja kami sudah senang,” kata Galang.

Salah satu hal yang paling membuat kesal para bug hunter adalah para developer situs web ini tidak mengonfirmasi temuan mereka, tetapi langsung melakukan patch pada kerentanan yang ada. Galang mengaku pernah mengalami hal itu, salah satunya, ketika menemukan kerentanan di salah satu situs web media online nasional.

Remaja berusia 17 tahun tersebut mengatakan, selama menjadi bug hunter dirinya pernah mendapat ancaman dilaporkan ke kepolisian hanya karena menemukan kerentanan di situs web perusahaan swasta. Padahal ia hanya melaporkan temuannya tersebut dan tidak melakukan apa pun terhadap situs web tersebut.

“Kalau mau ditangkap pun saya masih dibawah umur,” ujar dia.

Untuk itu, Galang meminta, kepada developer situs web untuk bersikap adil dan profesional jika menerima laporan temuan kerentanan dari bug hunter. Ia pun mempertanyakan sikap pengembang situs web yang diam-diam melakukan penambalan atau perbaikan (patch) kerentanan, alih-alih mengapresiasi si penemu kerentanan.

Sejauh pengalaman yang dilakukan komnitas ItsTeam Sec, Galan mengatakan, kerentanan yang paling banyak ditemukan, seperti SQL Injection, Into Out File, Register Mem, dan ada pula kerentanan lain.

Ia pun menyarankan agar developer rutin melakukan pengecekan dan segera menambalnya sebelum dieksploitasi oleh peretas.

“Kalau malas mengecek kerentanan mendingan pakai blogspot (platform web gratis yang biasa dipakai para blogger, red) saja deh, daripada punya web bagus, tapi banyak kerentanannya,” sindir Galang.[]

Redaktur: Andi Nugroho