Cyberthreat.id – Peretas topi putih (white hacker) satu ini mendapatkan rezeki nomplok dari Startbucks, jaringan keda kopi global asal Amerika Serikat, sebesar US$ 11.600 atau sekitar Rp 164 juta.

Ia mendapat hadiah tersebut setelah menemukan celah keamanan (bug) di salah satu domain seluler Starbucks. Bug tersebut potensial untuk serangan eksekusi kode jarak jauh (RCE).

Bug tersebut kini oleh Starbucks telah ditambal, tulis ZDNet, diakses Minggu (13 Desember 2020).

Menggandeng HackerOne, organisasi komunitas white hacker yang menyediakan jasa pengujian aplikasi asal Singapura, Starbucks mengadakan sayembara perburuan bug alias bug bounty.

Laporan yang ditemukan oleh Kamil “ko2sec” Onur Özkaleli, pertama kali dikirimkan pada 5 November lalu dan baru dipublikasikan pada 9 Desember lalu.

Laporan itu mengungkapkan masalah RCE yang ditemukan di mobile.starbucks.com.sg, sebuah platform khusus pengguna Starbucks di Singapura.

ko2sec menemukan titik akhir .ashx di mobile.starbucks.com.sg yang dimaksudkan untuk menangani file gambar.

Namun, endpoint (titik akhir dari jalur komunikasi dalam satu jaringan) tidak membatasi upload jenis file, yang berarti penyerang yang menyalahgunakan masalah tersebut berpotensi meng-upload file berbahaya dan mengeksekusi kode mana suka (arbitrer) dari jarak jauh.

Sejauh ini, kode referensi kerentanan (CVE) belum dikeluarkan untuk kerentanan kritis, tetapi skor level keparahan mencapai 9,8.

Atas temuan itu, ko2sec diberi hadiah US$ 5.600 untuk temuannya. RCE bukan satu-satunya pengajuan yang dibuat dia ke Starbucks.  Pada Oktober lalu, ia juga telah menerima US$ 6.000 untuk laporan eksploitasi pengambilalihan akun di situs web Starbucks Singapura yang disebabkan oleh lingkungan pengujian terbuka.

Kerentanan itu memungkinkan untuk menargetkan pengguna dengan mengetahui alamat email, informasi pribadi mereka, dan bahkan menggunakan kredit apa pun yang dimuat di dompet akun mereka untuk melakukan pembelian.

Hingga kini, Starbucks telah menerima 1.068 laporan kerentanan di HackerOne. Hadiah rata-rata yang dibayarkan untuk pengiriman bug yang valid adalah antara US$ 250 hingga US$ 375, sedangkan bug kritis bernilai US$ 4000 hingga US$ 6000.

Total, perusahaan telah membayar lebih dari US$ 640.000 untuk pemburu bug dengan US$ 20.000 dicairkan dalam 90 hari terakhir.[]