Cyberthreat.id – Prash Somaiya, manajer program teknis di HackerOne, mengatakan bahwa program bug bounty yang diaturnya memberikan sebuah perusahaan/organisasi akses ke keterampilan yang tidak dapat mereka akses dengan mudah.

HackerOne terkenal sebagai perusahaan yang mengorganisasi acara bug bounty yang telah bekerja sama dengan berbagai perusahaan dan lembaga pemerintah. Anggotanya dari para hacker putih dari berbagai dunia.

Perbedaan utama pun dalam menyewa konsultan untuk melakukan pengujian penetrasi dan menyiapkan bug bounty adalah bahwa peneliti tidak dibayar untuk waktu mereka, dan perusahaan/lembaga pemerintah tidak perlu membayar tarif per jam bagi mereka untuk menemukan bug.

Namun, bukan berarti pengujian penetrasi terhadap sistem elektronik yang dimiliki itu tidak dibutuhkan, melainkan bug bounty ini sebagai tambahan dari uji penetrasi itu.

---

Berita Terkait:

• Bug Bounty, Dunia Halal Hacker Dapatkan Uang Miliaran
• Netscape sebagai Pelopor, Mozilla Tertua Penyelenggara Bug Bounty
• AI Ancaman Bug Bounty? Hacker: Manusia Pintar Tidak Akan Pernah Gulung Tikar

---

Sebab, kata Daniel Veditz, insinyur keamanan staf senior di Mozilla, ada sebagian perusahaan yang berpikir bahwa terjun ke program bug bounty adalah pengganti untuk jaminan kualitas atau pengujian atau program keamanan. Padahal, itu tidaklah benar, ujar dia,

Beberapa kritikus pun menilai bahwa bug bounty ini digunakan sebagai pengingat kepada organisasi/perusahaan bahwa mereka perlu memikirkan/mengoreksi kembali cara menuliskan kode pemrograman aplikasi yang dibikin, demikian seperti dikutip dari ZDNet, 16 November 2020.

“Untuk itu, jangan hanya mengandalkan orang luar untuk memperbaiki kesalahan dasar yang seharusnya dapat dilihat oleh tim internal.”

Intinya, dari sisi internal pun harus diperhatikan saat mengembangkan aplikasi. Dengan artian, perusahaan harus memastikan proses pengembangan internal mereka mendorong kode yang aman daripada berharap peretas eksternal memperbaiki masalah itu.

Selain itu, “memiliki program bug bounty tanpa memiliki tim pengembang internal yang dapat melacak dan memperbaiki itu juga akan sia-sia”. Bahkan, mungkin memperburuk keadaan dengan menciptakan rasa aman yang palsu.

Biaya yang dikeluarkan untuk peningkatan pengembang internal, biaya program bug bounty, dan biaya potensi pelanggaran keamanan untuk sementara waktu, akan selalu jauh lebih murah daripada biaya untuk memperbaikinya nanti.

Bug bounty memang bukanlah jawaban untuk setiap masalah. Beberapa peneliti pun banyak yang tidak ingin terlibat karena beberapa program membatasi kemampuan mereka. Bahkan ada juga yang model crowdsourcing, di mana imbalan dari penemuan kerentanan sulit didapat.

Membayar berdasarkan hasil dapat menekan biaya, tetapi juga dapat mendorong para peneliti untuk fokus pada kelemahan yang lebih mudah ditemukan, daripada mengharapkan internal yang butuh lebih banyak waktu.

Perlu juga diingat bahwa sebagian peneliti keamanan melakukannya karena hal itu menjadi hobi yang menyenangkan. Banyak peretas menunjukkan bakatnya sebagai pemburu bug, yang mengantarkan mereka menuju industri keamanan.

Peretasan adalah tim

Satu hal yang mengejutkan orang awam adalah para peretas bug bounty ini bekerja sama. Bukan dalam artian mencari bug dengan bekerja sama lalu membagi penghasilannya.

Para pemburu bug ini, kata Tommy DeVoss, mantan peretas black hat  yang beralih menjadi pemburu bug bounty, saling berbagi hasil temuan bug-nya secara terbuka sesama komunitas peretas bug bounty.

DeVoss mengaku bahwa akan ada orang yang lebih pintar dan lebih tahu daripada dirinya sehingga dirinya pun melakukan hal yang sama, yakni membagikan hasil temuannya dalam bug bounty itu dengan sesama pemburu bug.

"Saya melakukan ini demi uang, tetapi saya tidak serakah, jadi saya tidak keberatan orang lain menghasilkan uang juga,” kata DeVoss.

Pemburu bug bounty lain, Kattie Paxton-Fear pun setuju dengan itu.

"Saya tahu bahwa jika saya memiliki masalah, saya dapat meminta bantuan 10 orang yang berbeda dan mengandalkan keahlian mereka, dan seringkali mereka tidak akan meminta uang kembali; mereka hanya ingin membantu. Semua orang paham bagaimana rasanya memulai," kata perempuan yang bergelar PhD dari Cranfield University (@CranfieldDefsec) itu.

Hadiah bug telah berkembang pesat sejak pelopor program ini, Netscape memulainya. Bahkan, bug bounty menjadi opsi utama industri keamanan saat ini.

Santiago Lopez, salah satu kelompok elite peneliti berbayar jutaan dolar dari HackerOne, mengatakan kesadaran bug bounty kini tumbuh sehingga jumlah pemburu bug pun  semakin banyak. Artinya, lebih banyak persaingan, kata Lopez.[]

Redaktur: Andi Nugroho