Jakarta, Cyberthreat.id – Ia biasa dipanggil Hidayat. Nama lengkapnya Muhammad Hidayat. Usianya baru 14 tahun dan masih duduk di bangku SMP. Namun, ia memiliki skill yang tak sembarang dimiliki anak-anak seusianya.

Ia adalah “bug hunter”, pemburu celah keamanan (bug) sistem informasi, termuda yang direkrut Badan Siber dan Sandi Negara dalam Voluntary Vulnerability Disclosure Program (VVDP).

Hidayat aktif di Anon Cyber Team (ACT), sebuah komunitas yang menyatukan para “bug hunter” atau hacker di Indonesia dan juga menjadi anggota termuda. Namun, mereka bukanlah hacker perusak; mereka membentuk komunitas justru memberitahu celah kepada pemilik sistem.

Hidayat mengaku baru mulai menekuni sebagai “bug hunter” sejak Agustus 2018. Ia menceritakan awal mulanya menyukai dunia siber tersebut. Bermula dari salah satu saluran di YouTube, ia belajar tentang dunia hacker.

Sayangnya, saluran hacker itu berbahasa Inggris dan ia merasa kurang bisa menangkap lebih banyak informasi yang disampaikan. Sampai akhirnya ia menemukan salah satu grup percakapan jejaring sosial dan mulailah ia belajar sebagai “bug hunter”.

Dari situ, ia banyak belajar. Ia mulai mengenal istilah-istilah deface level mudah, yaitu webdav, bypass admin, responsive file manager, com_media, dan com_content.

“Dulu saya enggak tahu apa itu deface dan pentest (penetration testing) web, saya tahunya cuma cara meng-hack sebuah website,” ujar Hidayat kepada Cyberthreat.id, Selasa (28/5/2019).

Ia lalu menceritakan kisahnya untuk pertama kali meretas sebuah situs web dengan mengubah tampilan lamannya. “Itu masih level easy-lah,” kata dia.

Semakin jatuh cinta dengan dunia hacker, ia pun mengasah diri dengan terus berburu ilmu peretasan. Dari ACT ia mendapatkan ilmu tentang cara memahami alur peretasan.

Tak hanya satu komunitas ia jelajahi. Selain di ACT, ia masuk ke dua komunitas lain, yaitu TEH squad cyber 404 dan Security Darknet.

Hidayat juga bercerita soal bug pertama ia temukan dengan nickname “CodayID” pada September 2018. Ia menemukan bug di salah satu situs web milik Pemerintah Kabupaten Sukabumi dengan alamat: dpesdm.sukabumikab.go.id.

“Tapi, situs web tersebut sekarang sudah tidak ada,” ujar dia.

Rasa penasaran semakin membuncah, ia pun bergerilya lagi dari situs web ke situs web. Ia menemukan lagi bug pada subdomain situs web milik Kementerian Pendidikan dan Kebudayaan berupa celah SQL Injection dan XSS. Hal serupa ia juga temukan di situs web IPB dengan celah XSS.

Ia juga mendapati celah pada aplikasi Bima+ milik operator seluler Tri. Dan, terakhir, Selasa sore, ia menemukan celah di situs web milik mamanda.co.id berupa SQL Injection.

“Mereka (mamanda.co.id) merespon kok, tapi alasan mereka website-nya belum  selesai dan belum sempat dipakai. Tapi, mereka akan memperbaiki bug tersebut”

Ia mengatakan, tak setiap laporan selalu direspons dengan baik oleh pengembang sistem, tapi ia tetap bersabar. Semenjak dirinya bergabung dengan VVDP, ia kini lebih dimudahkan dalam pelaporan bug dan menjangkau pertemanan lebih luas lagi. Tentu saja, pengetahuan tentang dunia peretasan makin bertambah, misal, soal exploit dan pentesting.

“Sejak saya gabung di VVDP ini pelaporan yang saya ajukan itu menjadi lebih cepat direspon,” ujar remaja asal Tangerang Selatan, Banten ini.

Apa yang diinginkan dari karier sebagai “bug hunter”? Hidayat mengaku ingin bercita-cita sebagai seorang ahli cybersecurity.

Redaktur: Andi Nugroho