Ilustrasi | Foto: freepik.com
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Di kalangan peneliti keamanan siber, program bug bounty bukanlah hal baru. Program ini salah satu cara mewadahi para peretas topi putih (white hat hacker) untuk mendapatkan pendapatan dengan cara yang halal.
HackerOne adalah salah satu wadah bug bounty terkemuka saat ini. Mereka berhasil mengumpulkan pendapatan jutaan dolar untuk para peretas yang ikut di dalamnya.
HackerOne atau sejenisnya menjadi sebuah bisnis di industri keamanan siber, di mana menghubungkan peretas dengan perusahaan yang ingin diuji sistem informasi atau aplikasi-aplikasinya.
Berikut ini lima platform bug bounty paling menjanjikan bagi perusahaan yang ingin meningkatkan cybersecurity dengan pengetahuan dan keahlian dari peneliti keamanan internasional, seperti dikutip dari The Hacker News, diakses Rabu (10 Februari 2021):
HackerOne adalah platform bug bounty paling terkenal di dunia dan didukung oleh banyak pemodal ventura terkemuka.
Berdasarkan laporan tahunan terbaru, lebih dari 1.700 perusahaan seperti Starbucks, Paypal, Qualcomm, dan lain-lain telah bekerja sama dengan mereka. Di Indonesia, HackerOne bekerja sama dengan Bank BRI untuk program bug bounty-nya.
Bahkan, laporan tersebut juga menyebutkan sepanjang 2019 mereka mengumpulkan sekitar US$ 82 juta secara kumulatif.
Berita Terkait:
HackerOne juga menjalin kerja sama dengan lembaga pemerintah seperti Departemen Pertahanan AS dan Angkatan Darat AS.
HackerOne diisi dengan peneliti keamanan yang berpengalaman dari seluruh dunia dan memiliki portofolio sertifikasi keamanan yang solid, termasuk ISO 27001 dan otorisasi FedRAMP.
BugCrowd didirikan oleh seorang peneliti keamanan siber, Casey Ellis pada 2011. BugCrowd telah digandeng oleh perusahaan-perusahaan terkemuka, seperti Amazon, VISA, dan eBay, serta Asosiasi Pendidikan Keamanan (ISC).
Di Indonesia, BugCrowd sudah bekerja sama dengan Gojek. BugCrowd tak hanya menawarkan pengungkapan kerentanan dan bug bounty saja, mereka juga menawarkan layanan pentest barang-barang internet (IoT), API, dan Jaringan, serta layanan attack surface management.
BugCrowd juga memiliki CrowdStream dan forum yang dimanfaatkan oleh para peneliti keamanan untuk berbagai informasi seputar keamanan siber.
OpenBugBounty berbeda dengan platform bug bounty lainnya, karena memungkinkan peneliti melaporkan XSS dan kerentanan di situs web apa pun yang ditemukan, tapi hanya memberikan reward “sederhana”.
Sebelumnya, mereka hanya memberikan sertifikat kepada peneliti yang menemukan dan memperbaiki kerentanan dari 50 situs web. Namun, saat ini mereka memberikan reward berupa barang-barang elektronik,seperti laptop, minuman beralkohol, buku, baju, dan lain-lain.
Baca:
Para peneliti juga bisa mendapatkan reward berupa uang, sesuai dengan kesepakatan antara peneliti dan pemilik situs web.
OpenBugBounty juga mengizinkan pengungkapan terkoordinasi tentang masalah keamanan di situs web mana pun jika masalah tersebut terdeteksi dengan cara yang tidak mengganggu.
Program ini gratis dan pemilik situs web tidak diharuskan membayar uang kepada para peneliti, hanya didorong setidaknya untuk berterima kasih kepada para peneliti dan memberikan rekomendasi publik atas upaya mereka.
OpenBugBounty pernah menggelar program bug bounty untuk perusahaan, seperti A1 Telekom Austria dan Drupal, dengan lebih dari 20.000 peneliti keamanan dan hampir 800.000 kerentanan. OpenBugBounty juga pernah bekerja sama dengan lembaga pemerintah dan aparat penegak hukum.
SynAck didirikan oleh pakar keamanan siber Jay Kaplan dan Mark Kuhr, pada 2013. SynAck menggabungkan teknologi kecerdasan buatan (AI) dan pembelajaran mesin (ML) dengan keahlian para peneliti.
SynAck mendapatkan banyak pendanaan dari Ventura Capital terkenal, seperti Intel Capital dan Kleiner Perkins. Bahkan, SynAck dinobatkan sebagai perusahaan "CNBC Disruptor" empat kali berturut-turut dari 2015 hingga 2019.
SynAck menawarkan tim elit yang terdiri dari peneliti keamanan siber yang diperiksa secara menyeluruh yang dikenal sebagai Red Team (SRT).
Menurut SynAck, grup SRT terdiri dari pakar keamanan dengan latar belakang terverifikasi dan pengalaman industri yang kredibel.
Hingga saat ini, SynAck telah berhasil mengembangkan kemitraan dan aliansi teknologi dengan para pemimpin industri, termasuk Microsoft, AWS, HPE, Orange, Red Team Technologies, dll.
YesWeHack adalah platform bug bounty asal Paris yang berdiri pada 2013 oleh Guillaume Vassault-H Crossle dan Manuel Dorne. Perusahaan mengklaim telah memiliki anggota sekitar 21.000 orang peretas topi putih. Baru-baru ini, YesWeHack mengumumkan rekor pertumbuhan 250 persen selama 2020 di Asia.
Pada 2020, anggota komunitasnya mengidentifikasi kerentanan dua kali lebih banyak dibandingkan dengan 2019. Sekitar 30 persen dari kerentanan yang dilaporkan pada platform YesWeHack dikualifikasikan sebagai “tinggi” atau “kritis”. Misalnya, mengekspose data pelanggan atau membahayakan infrastruktur.
Tahun lalu, mereka meluncurkan program pelatihan YesWeHack DOJO yang berfokus pada kerentanan keamanan. Dengan DOJO, peneliti keamanan dari seluruh dunia dapat meningkatkan keterampilan pengujian keamanan aplikasi mereka.[]
Redaktur: Andi Nugroho
Share:
