Leave a Reply


KOMPAS.com – Herdian Nugraha mengaku berhasil membobol keamanan situs e-commerce Bukalapak, Tokopedia, dan Sribu. Pembobolan dikerjakan melalui fitur upload gambar dalam ketiga situs tersebut.

Namun pembobolan tersebut, seperti diakui dalam blog pribadi yg beralamat di blog.hrdn.us, bukanlah buat tindakan merusak. Setelah menemukan celah, menjajal membobolnya dan berhasil, dia cuma mendokumentasikan berbagai hal terkait kelemahan itu.

Celah keamanan yg berada di fitur upload itu terkait dengan alat pemrosesan gambar bernama ImageMagick. Seperti diketahui, dua bulan dahulu seorang bernama Nikolay Ermishkin menemukan sejumlah cacat pada alat pemrosesan tersebut dan menamainya sebagai ImageTragick.

“ImageMagick” memungkinkan seseorang mendapatkan hak akses penuh ke server, misalnya melihat keterangan penting, seperti akun dan password pengguna.

Dokumentasi celah keamanan itu pun akhirnya diserahkan Herdian pada Tokopedia, Bukalapak, dan Sribu pada Juni dulu dan segera mendapat respon dari masing-masing situs.

Berdasarkan keterangan tersebut, ketiga situs tersebut segera menutup celah keamanan yg dilaporkan Herdian.

Dikutip KompasTekno, Rabu (20/7/2016) dari blog Herdian, Bukalapak juga merespon laporan dengan memberi ucapan terima kasih ke Herdian berupa uang Rp 15 juta, Tokopedia memberikan sertifikat dan uang Rp 10 juta, sedangkan Sribu mengucapkan terima kasih.

Soal keberadaan hadiah seperti ini dibenarkan oleh CEO Tokopedia William Tanuwijaya dan CEO Bukalapak Achmad Zaky. Menurut mereka, laporan terkait celah kemanan memang memiliki penghargaan tersendiri.

“Kami memang menghargai laporan yg sifatnya vulnerability bug. (Rewards yg diberikan) bervariasi, sesuai dengan tingkat vulnerability yg dilaporkan,” ujar William ketika dihubungi KompasTekno.

Sedangkan Zaky, ketika dihubungi terpisah, mengakui keberadaan celah keamanan yg ditemukan oleh Herdian. Celah tersebut pun telah ditutup dan pria yg menemukannya diganjar hadiah sekaligus direkrut menjadi karyawan Bukalapak.

“Benar (ada vulnerability dan hadiah bagi pelapornya). Bahkan Google dan Facebook juga milik vulnerability juga kan, kadang-kadang. Ya hacker kan ada yg baik dan jahat, kalau yg baik tentu laporan,” ujarnya.

“(Soal hadiah) kalau yg nilai bug-nya major, kalian mampu berikan penghargaan,” imbuhnya.


Sumber: http://tekno.kompas.com
Share this: