Cyberthreat.id – Sejumlah orang menjadi korban kibul-kibul dari seseorang lelaki yang mengaku dirinya peneliti keamanan atau bug hunter yang terdaftar di HackerOne, platform bug bounty terkemuka berbasis di California, AS.

Lelaki bernama Andri Wahyudi itu, berdasarkan profil di LinkedIn, menuliskan dirinya sebagai “millionaire” di HackerOne, artinya dia termasuk bug hunter yang telah mendapatkan US$ 1 juta dari hasil pencarian kerentanan melalui platform tersebut.

Anehnya, Andri mengibuli teman-temannya dengan modus “receh”. Misalnya, ketika dirinya mendekati Fauzi Mahya, seorang mahasiswa Unversitas Stekom Semarang, Jawa Tengah.

Sebagai sesama bug hunter, Fauzi percaya begitu saja bahwa Andri adalah sosok yang hebat karena sudah masuk HackerOne. Makanya, ia tak menaruh curiga ketika Andri meminjam uang sebesar Rp600 ribu.

“Alasannya untuk bayar apartemen senilai Rp 7 juta, tapi masih kurang Rp 600 ribu. Saya percaya saja,” kata Fauzi saat bercerita dengan Cyberthreat.id, beberapa waktu lalu.

Fauzi kenal dengan Andri awal 2021. Ia awalnya mengenal melalui unggahan video di saluran YouTube milik Andri. “Ia sering unggah PoC, ternyata konten-konten dia nyuri setelah saya tanya-tanya teman,” ujarnya. PoC atau proof of concept adalah bukti tentang kerentanan pada sebuah platform digital.

Dalam obrolan pinjam uang itu, kata dia, Andri juga menawarkan kelas bug hunter profesional dengan biaya Rp5 juta untuk kelas A dan Rp 2,5 juta untuk kelas B. “Juga, diiming-imingi disalurin kerja,” kata Fauzi yang masih berusia 22 tahun itu.

“Saya iseng daftar, tapi enggak saya bayar, saya mau tes ini benar atau tidak,” ujarnya.

Yang menjadi janggal, kata Fauzi, saat meminjam uang itu Andri seperti mendesak. “Dia ngemis banget, Mas. Dia nawarin jaminan akun RedStorm (platform bug bounty) dan HackerOne dan KTP,” jelasnya.

Ketika mengecek akun RedStorm, Fauzi memang bisa melihat laporan kerentanan milik Andri, tapi untuk akun HackerOne tidak bisa diakses karena perlu kode 2FA dari pemilik akun.

Fauzi sebetulnya telah melupakan dan mengikhlaskan uang tersebut karena sudah berkali-kali diminta untuk bayar, tapi tak kunjung direspons. Ia menjadi jengkel setelah beberapa pekan terakhir mendengar, bahwa ternyata korban kibul-kibul Andri bertambah banyak.

“Kalau dia millionaire, kenapa minta-minta uang,” kata Fauzi.

Korban kedua, lagi-lagi juga seorang bug hunter. Namanya Abdullah Mudzakir. Ia lebih muda dari Fauzi, masih duduk di kelas dua SMK Negeri 8 di Semarang.

Saat itu ia tertarik dengan kursus keamanan siber yang diunggah Andri di akun LinkedIn-nya. Tawaran yang menarik ialah ada laboratorium privat dan mendapatkan jaket hoodie.

Ia pun mendaftar dengan membayar Rp150 ribu. Setelah itu, ia kembali diminta Andri untuk membayar Rp250 ribu untuk ongkos jaket, tapi permintaan ini ditampik. Bahkan, Andri sampai menawarkan harga jaket hingga Rp50 ribu. Kontak keduanya tersebut terjadi pada awal Desember lalu.

Abdullah mengakui bahwa Andri memiliki pembawaan halus dan gaya bicara yang meyakinkan. “Saya kagum dengan cara menipunya,” katanya.

Ia mengikhlaskan uang sebesar Rp150 ribu belum dikembalikan.

Abdullah termasuk bug hunter yang mujur. Tahun lalu, ia menemukan bug di platform Google dan termasuk sebagai kerentanan kritis. Ia pun diganjar hadiah sebesar US$5.000 atau sekitar Rp70 juta. November 2021, ia juga baru saja mendapat durian runtuh dari platform keuangan asal Timur Tengah sebesar US$4.500.

Korban ketiga, Popy Arsita seorang gamer asal Jakarta yang bergabung di agensi MainGames. Dia juga seorang YouTuber dengan 7,7 ribu follower. Namun, ia lebih sering main game di akun Facebook-nya yang memiliki lebih dari 300 ribu follower.

Popy termasuk korban dengan kerugian paling besar. Jika ditotal, ia kehilangan uang Rp15 juta plus satu laptop ROG. Uang Rp15 juta itu dipinjam Andri dengan alasan kepentingan keluarga, tapi kunjung dikembalikan.

Ia mengenal Andri awal 2020 di Facebook. Dari obrolan perkenalan itu, akhirnya mereka bekerja sama dalam sebuah bisnis di Yogyakarta. Lebih tepatnya, suami Popy yang kerja bareng Andri.

Selama perkenalan itu, Andri juga telah menjelaskan bahwa dirinya bug hunter di HackerOne. Popy sendiri diperlihatkan akun HackerOne. “Dia memang terlihat pintar, makanya suami saya merekrutnya,” katanya.

Kerja Andri masih tetap sama menjadi bug hunter, tapi difasilitasi oleh suami Popy, termasuk komputer dan lainnya. Jika nanti menemukan bug dan mendapatkan hadiah, hasilnya dibagi dua. Tapi, ada juga proyek lain bersama suami Popy.

Popy merasa kesal dengan tingkah laku Andri karena telah diberi kesempatan kerja dan fasilitas, tapi justru mengibulinya.  Ia pun mengungkap perilaku Andri tersebut di akun Twitter-nya pada 14 Desember lalu. Sampai sekarang, Popy tak bisa menghubungi Andri lantaran semua akses komunikasi diblokir, termasuk media sosial.

“Dia memang jago coding. Iya saya akui. Tapi, saya sebel saja, enggak bayar utangnya. Dia hidupnya hedon, dia beli motor R15 harganya Rp15 juta, tinggal di apartemen di Bekasi senilai Rp7 juta per bulan,” ujar Popy.

Cyberthreat.id sedang berupaya meminta klarifikasi dengan Andri Wahyudi. Sayangnya, nomor teleponnya tidak aktif saat artikel ini ditulis.

Klarifikasi Andri

UPDATE: pada Senin (31 Januari 2022), Cyberthreat.id baru mengetahui bahwa artikel ini hilang dan berganti judul “ANDI NUGROHO (WANTED). Tidak jelas kapan tepatnya artikel ini hilang, tapi Cyberthreat.id mengalami serangan siber pada 29 Januari 2022.

Dari penelusuran serangan itu, akhirnya Cyberthreat.id bisa mendapatkan konfirmasi kepada Andri.

Melalui sambungan telepon, Selasa (1 Februari), ia mengakui bahwa dirinya telah meminta seseorang bernama Ridwan Maulana untuk menurunkan artikel tersebut dengan cara akses ilegal ke situsweb Cyberthreat.id. Menurut dia, Ridwan melaporkan ke dirinya usah menghapus berita pada tiga hari lalu.

"Saya cuma ngomong sama mas Ridwan untuk men-take down itu berita, supaya tidak bisa dibuka. Bukan buat hapus, itu pun solusi dari mas Ridwan," ujar Andri.

Ia mengatakan tidak suka dengan berita ini karena dirinya disudutkan tanpa ada klarifikasi darinya.

Padahal, Cyberthreat.id saat menurunkan artikel ini sebelumnya telah berusaha mengontak dua nomor ponsel Andri yang didapat dari rekan bug hunter­-nya. Namun, tak ada jawaban sama sekali dari Andri. Saat ditanya soal itu,1 Februari, Andri mengklaim saat itu ponselnya hilang. 

Menanggapi masalah tudingan dia menipu, Andri menolak hal tersebut. “Saya segera selesaikan masalah ini baik-baik,” katanya menyangkut masalah dengan rekan bug hunter yang merasa dirugikan karena telah dimintai uang.

Andri mengklaim terkait kursus bug bounty memang telah disiapkan. Namun, karena pemberitaan dirinya dan unggahan Popy di Twitter, ia mengatakan, program kursusnya ikut terkena imbas.

“Lab-nya sudah ada. Teman-teman masih bisa melanjutkan kursus, kita bisa ngomong baik-baik,” ujarnya.

Khusus menyangkut masalah dengan Popy, Andri meminta agar masalah keluarga jangan diunggah di media sosial. “Kalau masalah keluarga bisa diselesaikan dengan baik-baik,” katanya.

Andri mengaku aktif di HackerOne sejak 2015, tapi profilnya baru muncul ke permukaan pada 2017. Dia mengklaim pada 2019 namanya masuk sebagai bug hunter yang telah mendapatkan status “millionare”.  Sejak di HackerOne ia telah mengklaim telah menemukan 300 kerentanan dari 36 organisasi.

Di situsweb HackerOne, Andri menggunakan nama akun “rakhanobe”; sebelumnya menggunakan akun andridev_ seperti yang terdapat di akun LinkedIn-nya. Tertulis di profilnya, ia bergabung pada September 2018. Ia memiliki angka reputasi 225, menemukan 54 kerentanan valid, dan mendapatkan ucapan terima kasih atas 15 kerentanan.

[UPDATE: Selasa sore, Andri memberi tambahan keterangan bahwa akun HackerOne-nya atas nama "devthoms". Ia mengaku memiliki banyak akun di HackerOne, tapi belum membeberkan apa saja ketika ditanya. Di sisi lain, dia tidak membantah akun "rakhnobe". Ia juga membagikan tautan tentang dirinya masuk sebagai bug hunter Google. Tautan ini sama persis dengan tautan yang disematkan di akun "rakhnobe". Dari dua akun tersebut, Andri lebih banyak mengungkapkan temuan vulnerability disclosure program (VDP), artinya dia berupaya mengumpulkan poin reputasi di akun HackerOne. Ini berbeda halnya dengan bug bounty program yang mendapatkan hadiah uang. Salah satu hadiah uang yang dipublikasikannya sebesar US$500 didapat dari Yoti.]

Di akun tersebut sulit untuk memastikan bagaimana dirinya bisa disebut sebagai “millionare” karena tidak ada keterangan  sama sekali soal pendapatan. Ia memang beberapa kali ikut program memburu kerentanan yang diinisiasi HackerOne, salah satunya di Departemen Pertahanan AS. Ia menemukan 49 kerentanan, tapi hanya 19 yang berstatus valid.

Untuk sebuah akun bug hunter yang populer biasanya mendapatkan centang biru, seperti yang dimiliki oleh Tommy DeVoss, salah satu bug hunter yang mendapatkan US$1 juta. (Baca: Bug Bounty, Dunia Halal Hacker Dapatkan Uang Miliaran)

Seorang bug hunter yang aktif HackerOne asal Riau, Aidil Arief, mengatakan, memang sulit memastikan pendapatan seseorang dari melihat profil di HackerOne karena harus orang tersebut yang mempublikasikan sendiri.

“Namun, kalau sudah masuk ‘millionare’ biasanya HackerOne mengumumkan sendiri kok,” katanya kepada Cyberthreat.id.

Pada 29 Agustus 2019, HackerOne mengenalkan sejumlah nama bug hunter yang mendapatkan US$1 juta, antara lain Tommy DeVoss, Mark Litchfield, Frans Rosen, Nathaniel Wakelam, Rom Chan, dan Santiago Lopez. Pengumuman itu bisa baca di sini. Dan, tidak ada nama Andri Wahyudi di situ.[]