Chennai, Cyberthreat.id – Seorang peretas (hacker) asal India baru saja menerima US$ 30 ribu atau sekitar Rp 417,95 juta (kurs Rp 13.931) dari Facebook setelah menemukan celah (bug) kritis di Instagram yang bisa dieksploitasi peretas.

Pemburu bug (bug hunter) yang menemukan celah itu bernama Laxman Muthiyah (26). Ia menemukan bug saat menganalisis sistem pemulihan kata sandi Instagram untuk perangkat seluler. Ia melaporkan temuannya itu pada 10 Juli lalu dan Facebook akhirnya segera memperbaikinya.

Ketika pengguna ingin mengubah kata sandinya, kode enam digit dikirim ke ponsel pengguna dan mereka harus memasukkan kode itu dalam waktu 10 menit untuk dapat mengubah kata sandi.

Laxman Muthiyah membagikan tangkapan layar yang menunjukkan dirinya menerima hadiah dari Facebook yang diunggah di blog-nya. Foto: thezerohack.com

Kode enam digit adalah “permainan” paling menyenangkan bagi hacker dengan sumber daya komputasi. Meski pengembang Instagram memang telah menerapkan “mekanisme pembatasan” untuk mencegah penyerang membobol kode enam digit itu (dengan teknik serangan brute-force), tetapi Muthiyah menemukan cara lain untuk menerobos sistem itu.

Muthiyan melakukan uji coba dengan mengirim 1.000 kali permintaan yang berisi kode verifikasi, 250 di antaranya diproses. Ia kemudian mencoba kembali kode kombinasi dan kali ini membombardir Instagram sebanyak 200 ribu kali dari 1.000 alamat IP berbeda.

Dan, teknik yang ia pakai adalah teknik race condition—situasi di mana beberapa proses mengakses dan memanipulasi data bersama secara bersamaan.

“Itu terdengar begitu besar ya, tapi itu sebenarnya mudah jika Anda menggunakan penyedia layanan cloud, seperti Amazon atau Google. Biayanya sekitar US$150 untuk melakukan serangan penuh untuk satu juta kode ke sembarang akun,” kata dia seperti dikutip dari SecurityWeek.com, yang diakses Selasa (16 Juli 2019).

Logika sederhana dari teknik race condition begini: jika di sebuah ruangan terdapat sebuah lampu, tapi dibuat dengan dua saklar. Selanjutnya, lampu itu dihidupkan bersama-sama oleh dua orang dengan saklar masing-masing. Apa yang terjadi? Ada yang bisa menyalakan, ada yang gagal. Artinya satu instruksi bisa membatalkan instruksi lainnya.

Teknik race condition biasanya dipakai pada memori atau penyimpanan komputer. Kondisi itu dapat terjadi jika ada perintah untuk membaca dan menulis sejumlah data besar yang diterima pada saat hampir bersamaan. Akibatnya, mesin berusaha untuk menimpa sebagian atau semua data lama saat data lama sedang digunakan. Mesin dipaksa untuk membaca, membaca data lagi.

“Hasilnya bisa bermacam-macam mulai komputer crash, pemberitahuan dan penutupan program hingga kesalahan membaca data lama atau kesalahan menulis data baru,” demikian seperti dikutip dari SearchStorage.

Sebelumnya, Muthiyah juga pernah mendapatkan hadiah besar dari Facebook. Ia saat itu menemukan kelemahan serius yaitu peretas bisa menghapus dan memodifikasi video, bahkan menghapus aturan hak cipta, mengakses foto pribadi, dan menghapus foto pengguna.

Klik di sini penjelasan detail dari Muthiyah diunggah di blog-nya.