IND | ENG
Sejak 2014, Dropbox Habiskan US$ 1 Juta untuk Bayar Hacker

Ilustrasi | Foto: freepik.com

Sejak 2014, Dropbox Habiskan US$ 1 Juta untuk Bayar Hacker
Andi Nugroho Diposting : Minggu, 09 Februari 2020 - 21:15 WIB

Cyberthreat.id – Perusahaan layanan penyedia data berbasis web, Dropbox Inc, menyatakan, telah menghabiskan uang lebih dari US$ 1 juta (setara Rp 13,68 miliar) untuk sayembara kerentanan (bug bounty) sejak 2014.

“Program sayembara bug kami baru-baru ini melewati tonggak penting. Sejak meluncurkan program kami pada 2014 dan melipatgandakan hadiah kami pada 2017, kami telah memberikan lebih dari US$ 1 juta untuk peserta,” kata perusahaan seperti dikutip dari Security Affairs, 5 Februari lalu.

Namun, mulai 2015 perusahaan menjalankan program tersebut bekerja sama dengan di platform HackerOne. Sayembara tersebut mencakup situs web utama, layanan workspace kolaboratif, dan aplikasi komputer dan seluler.

“Proses menemukan dan memulihkan bug ini adalah kunci untuk mempertahankan keamanan perusahaan,” tutur perusahaan dalam blognya.

Hadiah terbesar yang ditawarkan tersebut yaitu lebih dari US$ 32.000 diberikan bagi peretas yang menemukan kerentanan kritis untuk eksekusi kode jauh di server perusahaan. Lihat daftar berikut:

  • Remote Code Execution on servers sebesar US$ 32.768)
  • Significant Authentication Bypass sebesar US$ 17.576)
  • Trivial Remote Code Execution in Dropbox app (Android, iOS, Client) sebesar US$ 15.625
  • Cross Site Request Forgery on critical actions sebesar US$ 13.824, dan
  • Cross site scripting on www.dropbox.com working on all browsers sebesar US$ 12.167.

DropBox menyatakan, telah membayar para peretas lebih dari US$ 318.000 melalui platform HackerOne untuk lebih 300 kerentanan. Juga, membayar sebesar US$ 336.479 pada acara peretasan langsung yang diadakan di Singapura pada 2019.

Dropbox dan HackerOne mengundang 45 peretas topi putih (white hacker) dari 11 negara termasuk Singapura, Amerika Serikat, Swedia, Kanada, India, Belanda, Jepang, Australia, Belgia, Hong Kong, Inggris, dan Portugal.

Ada lima laporan favorit Dropbox dalam program sayembara tersebut, yaitu

  • pembobolan kata sandi tautan bersama (share link password bypass) ditemukan oleh “detroitmash”. Mendapat hadiah US$ 10.648 dan tambahan US$ 2.744 sebagai laporan terbaik dalam periode 6 bulan.
  • notifikasi CSS Injection oleh “0xacb” dan “cache-money”. Diganjar hadiah sebesar US$ 12.167 dan bonus US$ 1.000 sebagai “Coolest Proof of Concept” dalam laporan mitigasinya.
  • Gopher SSRF oleh “mlitchfield”. Diberi hadiah US$ 6.859.
  • manifes cache aplikasi (app cache manifest) oleh “fransrosen”. Mendapat hadiah US$ 10.648 dan bonus US$ 2.197 sebagai salah satu laporan teratas selama periode 6 bulan.
  • kerentanan ImageMagick yang oleh “Stewie”, sang penemu, diberi nama “ImageTragick”—ini kerentanan serius yang melibatkan eksekusi kode jarak jauh (RCE), SSRF, dan Local File Inclusion (LFI) yang memungkinkan penyerang menggunakan banyak teknik untuk menyerang target yang rentan. Mendapatkan hadiah US$ 729 dan tambahan US$ 512 karena menyediakan mitigasi zero day tersebut.[]
#hackerone   #hacker   #sayembarabug   #bugbounty   #dropbox

Share:




BACA JUGA
Microsoft Ungkap Aktivitas Peretas Rusia Midnight Blizzard
Penjahat Siber Persenjatai Alat SSH-Snake Sumber Terbuka untuk Serangan Jaringan
Peretas China Beroperasi Tanpa Terdeteksi di Infrastruktur Kritis AS selama Setengah Dekade
Google Cloud Mengatasi Kelemahan Eskalasi Hak Istimewa yang Berdampak pada Layanan Kubernetes
Serangan siber di Rumah Sakit Ganggu Pencatatan Rekam Medis dan Layanan UGD