Cyberthreat.id - Tak ada sistem yang 100 persen aman.  Begitulah prinsip yang berlaku di kalangan praktisi teknologi informasi. Kemungkinan adanya celah keamanan yang disebut bug bisa saja terjadi. Petaka pun mengintai jika celah itu ditemukan oleh orang berniat jahat. Bisa jadi datanya dicuri, atau bahkan dijadikan sandera untuk mendapatkan uang tebusan.

Menyadari celah itu, sejumlah perusahaan teknologi besar kerap mengatakan kontes untuk menguji keamanan sistem mereka. Bug bounty, namanya. Biasanya, para peserta akan ditantang untuk menemukan celah keamanan di sistem atau platform mereka. Jika ditemukan, penemunya biasanya akan diganjar dengan hadiah yang setimpal, tergantung berat ringannya masalah yag ditemukan.

Pekerjaan itulah yang dilakoni oleh  Muhammad Thomas Fadhila. Bug hunter, istilahnya. Pemburu celah keamanan. Thomas pernah menemukan celah keamanan antara lain di Instagram dan platform e-commerce Tokopedia.

Dalam kasus Instagram, pada November 2019, Thomas menemukan ada yang tak beres pada aplikasi milik Facebook itu. Bagaimana tidak, pengguna masih mendapat kiriman notifikasi jika ada pesan masuk meskipun telah logout dari aplikasi. Tak hanya itu, jika ada panggilan video call pun masih dikirim notifikasinya.  

Bahaya benar itu. Apalagi jika pada saat login ke Instagram menggunakan ponsel teman. Bayangkan, ketika Anda sudah logout dan mengembalikan ponsel yang dipinjam, tiba-tiba masuk pesan DM pribadi ke Instagram dan si teman dapat membaca notifikasinya. Alamak! Bisa berabe jadinya.   

Temuan itu pun dilaporkan Thomas ke Instagram. Rupanya, saat itu memang ada cacat pada kode miskonfigurasi session Instagram. Pihak Instagram sendiri tak menyadari adanya cacat itu sebelum dilaporkan oleh Thomas.

Selang dua bulan setelah Thomas melaporkannya, pada 27 Januari 2020, Facebook selaku pemilik Instagram menyatakan laporan itu valid. Thomas pun mendapat hadiah sebesar US$ 750, setara Rp10,7 juta.

"Kebetulan Instagram itu sudah menjadi milik Facebook, dan Facebook mengadakan program bug bounty yang diberi nama Facebook White Hat. Jadi saya membuat report dan melaporkan celah keamanan tersebut di platform yang sudah disediakan Facebook," kata Thomas.

Sebelumnya, pada Februari 2019, Thomas juga menemukan cacat pada pemberian likes/suka pada ulasan produk yang dijual di  Tokopedia. Cacat itu bisa memungkinkan seseorang mengubah jumlah bintang yang diberikan pengguna atas layanan mitra Tokopedia.

Celah itu disebut IDOR. Insecure Direct Object Reference. Ini adalah kondisi dimana pengguna dapat mengakses suatu objek tanpa melewati pemeriksaan hak akses.  Artinya, aktor jahat dapat menambah jumlah likes pada ulasan produk tanpa perlu interaksi dengan pengguna Tokopedia.

Tokopedia menyatakan celah tersebut valid dan mengkategorikannya sebagai kerentanan "menengah atau medium". Tokopedia kemudian memperbaiki kerentanan tersebut pada 1 April 2019.

Atas temuan itu, Tokopedia mengganjar Thomas dengan sertifikat dan hadiah senilai Rp 2 juta. Terkait hadiah ini, kata Thomas, nilainya tergantung pada dampak yang bisa ditimbulkan oleh kerentanan keamanan itu. Semakin besar dampaknya, maka semakin tinggi hadiah yang diberikan.

Thomas mengawali kiprahnya di dunia keamanan siber saat mengikuti perlombaan capture the flag atau CTF yang digelar Kementerian Pertahanan pada 2014. Dari situlah Thomas memulai kiprahnya di dunia keamanan siber.

Pada perlombaan CTF, peserta diharuskan menyelesaikan tantangan-tantangan yang disediakan oleh penyelenggara seputar celah keamanan pada aplikasi web, mobile maupun desktop.

Tantangannya adalah peserta lomba harus menemukan "flag" atau bendera yang disematkan pada aplikasi web, mobile atau desktop dengan memanfaatkan celah-celah keamanan untuk mendapatkan flag tersebut.

"Ini menjadi awal saya berkecimpung di dunia bug hunter," kata Thomas kepada Cyberthreat.id, Rabu (8 Juli 2020).

Saat ini, Thomas juga berkiprah sebagai pentester (penetration tester) di Sumatra Cyber Security.

Seperti profesi lain, menjadi bug hunter juga tak luput dari suka dan duka. Ia bisa menjadi sangat girang jika menemukan adanya bug baru yang berhubungan dengan business logic dari sebuah aplikasi.

"Biasanya kan ada jenis bug yang common gitu, jadi kalau bisa dapat yang belum pernah saya temuin, senang aja jadinya," ujar Thomas.

Sebaliknya, ia bisa jadi kesal bukan kepalang jika sudah susah payah berusaha menemukan sebuah bug, eh, ternyata sudah dilaporkan oleh orang lain.

Namun begitu, Thomas tak menyerah. Biasanya, ia akan segera melupakannya dan melanjutkan misi untuk menemukan celah keamanan pada platform lainnya.[]

Editor: Yuswardi A. Suud