San Fransisco, Cyberthreat.id - Biasanya HackerOne membayar hacker atas nama klien yang celah keamanan produknya  dilaporkan di platform tersebut. Sejauh ini, HackerOne sedikitnya telah mengeluarkan hadiah US$23 juta (sekitar Rp 324 miliar) dari klien seperti Twitter, Slack, dan Pentagon Amerika Serikat. Di sisi lain, HackerOne juga menghimpun sangat banyak data sensitif berupa celah keamanan produk klien.

Minggu lalu, HackerOne harus merogoh koceknya sendiri untuk membayar hacker sebesar US$20 ribu. Hacker dengan nama haxta4ok00 mendapat hadiah itu di luar program bug bounty. Ia menemukan celah keamanan di platform HackerOne pada 24 November yang memungkinnya mendapatkan akses untuk membaca dan mengubah sebagian data di platform HackerOne. Celah keamanan itu muncul melalui kebocoran sesi cookie yang masih valid yang didapatkan dari analis keamanan HackerOne sendiri. Saat berkorespondesi dengan haxta4ok00, analis tersebut  secara tidak sengaja ikut mengirimkan sesi cookie-nya yang masih valid. 

"Saya bisa membaca semua laporan keamanan dan program lainnya," tulis haxta4ok00, saat melaporkan temuannya dalam bahasa Inggris yang kurang lancar. "Saya tidak mengubah apapun atau atau menggunakan [datanya]. Semuanya hanya untuk peretasan."

HackerOne merespons dengan cepat, hanya dua jam setelah laporan pembobolan tersebut, dengan membatalkan sesi cookie yang bocor. HackerOne langsung meluncurkan penyelidikan untuk mengetahui apa yang terjadi dan seberapa besar kerusakan yang dialaminya. Maklum, data yang bisa diakses haxta4ok00  merupakan data sensitif yang berisi laporan celah keamanan para klien HackerOne. Karena itu, HackerOne juga telah memberitahu para klien yang datanya mungkin telah terekspos.

Co-founder HackeOne, Jobert Abma, sempat bertanya kepada haxta4ok00 (tanya jawabnya bisa dibaca di sini), "Kami merasa tidak ada gunanya bagi Anda membuka semua laporan dan halaman untuk mengkonfirmasi bahwa Anda bisa mengakses akun tersebut. Bisakah Anda menjelaskan mengapa melakukan hal itu?"

Hacker tersebut menjawab bahwa ia melakukannya untuk "menunjukkan dampaknya". Ia sendiri tidak melakukan hal yang merusak dan segera melaporkan celah tersebut. Lebih jauh, haxta4ok00 menyatakan bahwa ia telah menyebutkan kemungkinan serangan itu 3 tahun lalu kepada HackerOne. 

Direktur Keamanan HackerOne, Reed Loden, menyatakan bahwa laporan haxta4ok00 pada tiga tahun lalu murni skenario teoritis yang terkait dengan peramban tua yang tidak didukung platform HackerOne. Loden juga tidak yakin hacker bisa membaca semua laporan keamanan dan sebagian besar program. Sesi cookie yang didapatkan haxta4ok00 hanya memberikan akses terbatas. Diperkirakan kebocoran data yang terjadi kurang dari 5% dari seluruh program, begitu kata Loden seperti dikutip arstechnica.com.

HackerOne menutup celah keamanan ini dengan membatasi sesi staf dan analis keamanannya berdasarkan alamat IP saat memulai sesi. Namun kebijakan ini masih tertunda mengingat banyak pengguna menggunakan banyak alamat IP (IP dinamis yang diberikan provider internet). HackerOne juga membuat perubahan kebijakan untuk memperingatkan penggunanya saat memberikan informasi sensitif secara tidak sengaja.

Pada saat awal, HackerOne mengklasifikasikan ancaman ini sebagai "pengambilalihan akun" atau account take over (ATO) namun kemudian diubah menjadi "kebocoran sesi cookie". Level ancaman semula dikategorikan "tinggi". Dengan level ini, hacker biasanya akan mendapat hadiah sekitar US$7.500. Namun, setelah mengevaluasi jumlah informasi sensitif yang bisa diakses hacker, HackerOne mengkategorikannya sebagai celah keamanan kritis. Untuk itu, pada 27 November, HackerOne memberikan hadiah US$20 ribu atau sekitar Rp 281 juta kepada haxta4ok00. Laporan keamanan ini ditutup pada 4 Desember.