Cyberthreat.id – Perusahaan layanan penyedia data berbasis web, Dropbox Inc, menyatakan, telah menghabiskan uang lebih dari US$ 1 juta (setara Rp 13,68 miliar) untuk sayembara kerentanan (bug bounty) sejak 2014.

“Program sayembara bug kami baru-baru ini melewati tonggak penting. Sejak meluncurkan program kami pada 2014 dan melipatgandakan hadiah kami pada 2017, kami telah memberikan lebih dari US$ 1 juta untuk peserta,” kata perusahaan seperti dikutip dari Security Affairs, 5 Februari lalu.

Namun, mulai 2015 perusahaan menjalankan program tersebut bekerja sama dengan di platform HackerOne. Sayembara tersebut mencakup situs web utama, layanan workspace kolaboratif, dan aplikasi komputer dan seluler.

“Proses menemukan dan memulihkan bug ini adalah kunci untuk mempertahankan keamanan perusahaan,” tutur perusahaan dalam blognya.

Hadiah terbesar yang ditawarkan tersebut yaitu lebih dari US$ 32.000 diberikan bagi peretas yang menemukan kerentanan kritis untuk eksekusi kode jauh di server perusahaan. Lihat daftar berikut:

• Remote Code Execution on servers sebesar US$ 32.768)
• Significant Authentication Bypass sebesar US$ 17.576)
• Trivial Remote Code Execution in Dropbox app (Android, iOS, Client) sebesar US$ 15.625
• Cross Site Request Forgery on critical actions sebesar US$ 13.824, dan
• Cross site scripting on www.dropbox.com working on all browsers sebesar US$ 12.167.

DropBox menyatakan, telah membayar para peretas lebih dari US$ 318.000 melalui platform HackerOne untuk lebih 300 kerentanan. Juga, membayar sebesar US$ 336.479 pada acara peretasan langsung yang diadakan di Singapura pada 2019.

Dropbox dan HackerOne mengundang 45 peretas topi putih (white hacker) dari 11 negara termasuk Singapura, Amerika Serikat, Swedia, Kanada, India, Belanda, Jepang, Australia, Belgia, Hong Kong, Inggris, dan Portugal.

Ada lima laporan favorit Dropbox dalam program sayembara tersebut, yaitu

• pembobolan kata sandi tautan bersama (share link password bypass) ditemukan oleh “detroitmash”. Mendapat hadiah US$ 10.648 dan tambahan US$ 2.744 sebagai laporan terbaik dalam periode 6 bulan.

• notifikasi CSS Injection oleh “0xacb” dan “cache-money”. Diganjar hadiah sebesar US$ 12.167 dan bonus US$ 1.000 sebagai “Coolest Proof of Concept” dalam laporan mitigasinya.

• Gopher SSRF oleh “mlitchfield”. Diberi hadiah US$ 6.859.

• manifes cache aplikasi (app cache manifest) oleh “fransrosen”. Mendapat hadiah US$ 10.648 dan bonus US$ 2.197 sebagai salah satu laporan teratas selama periode 6 bulan.

• kerentanan ImageMagick yang oleh “Stewie”, sang penemu, diberi nama “ImageTragick”—ini kerentanan serius yang melibatkan eksekusi kode jarak jauh (RCE), SSRF, dan Local File Inclusion (LFI) yang memungkinkan penyerang menggunakan banyak teknik untuk menyerang target yang rentan. Mendapatkan hadiah US$ 729 dan tambahan US$ 512 karena menyediakan mitigasi zero day tersebut.[]