Begini Cara Herdian Membobol Server Bukalapak Dan Tokopedia

Praktisi keamanan komputer berjulukan Herdian Nugraha menemukan celah keamanan dalam situs-situs belanja online, Tokopedia, Bukalapak, dan situs pesan desain online, Sribu.com.

Herdian mengaku bisa membobol situs-situs milik startup Indonesia tersebut dan kemudian menginformasikannya ke pihak terkait.

“Saya sedang mencari-cari barang di Bukalapak. Lalu melihat fitur upload foto profil, nah di situ saya mulai iseng untuk mencoba-coba apakah di fitur tersebut ada celah. Ternyata ada,” ujar Herdian ketika dihubungi KompasTekno, Rabu (20/7/2016).

Dalam situs blog pribadinya, Herdian membeberkan metode pembobolannya. Ia mengakses server ketiga situs dengan memanfaatkan celah keamanan berjulukan ImageTragick.

Celah keamanan ImageTragick, dikutip KompasTekno dari Mail.ru, memanfaatkan kelemahan ImageMagick, piranti lunak yang biasa dipakai oleh layanan web untuk memproses foto atau gambar. Bug tersebut ditemukan oleh peneliti keamanan Nikolay Ermishkin pada Mei 2016 lalu.

Untuk membobol server, Herdian kemudian menciptakan file MVG (ImageMagick Vector Graphic) yang telah dimodifikasi yang kemudian disimpan dalam format JPG/PNG/GIF untuk diunggah di situs Tokopedia, Bukalapak, dan Sribu.

Setelah file gambar yang dimodifikasi itu diunggah, Herdian pun mendapat hak penuh jalan masuk server di ketiga situs. Di sana, ia bisa mendapat data penting, menyerupai alamat e-mail dan password pengguna.

“Sebenarnya kalau konfigurasi server-nya lemah, mungkin satu sistem itu sudah bisa kontrol dan beberapa data-data pengguna bisa diambil,” terperinci Herdian.

Di antara ketiga sasaran yang dicoba oleh Herdian, bekerjsama lapisan keamanannya cukup baik. Namun Bukalapak diakuinya cenderung lebih sulit alasannya yakni secara rutin meng-update sistem.

Langkah-langkah yang diungkap oleh Herdian terlihat sederhana namun sesungguhnya memerlukan kemampuan pemrograman yang cukup mumpuni.

Herdian mendokumentasikan cara memakai celah keamanan ImageMagick dalam blog-nya. Herdian juga mengaku tindakannya itu bukan ditujukan untuk merusak.

Dokumentasi celah keamanan itu pun diserahkan Herdian ke Tokopedia, Bukalapak, dan Sribu pada Juni kemudian dan eksklusif mendapat respon dari masing-masing situs.

Berdasarkan isu tersebut, ketiga situs tersebut eksklusif menutup celah keamanan yang dilaporkan Herdian. Langkah-langkah yang dibeberkan Herdian pun ketika ini sudah tidak mempan untuk membobol situs-situs tersebut.

Mendapat hadiah dan direkrut Bukalapak

Bukalapak merespon laporan dengan memberi ucapan terima kasih ke Herdian berupa uang Rp 15 juta, Tokopedia mengatakan akta dan uang Rp 10 juta, sedangkan Sribu mengucapkan terima kasih.

“Kami memang menghargai laporan yang sifatnya vulnerability bug. (Hadiah yang diberikan) bervariasi, sesuai dengan tingkat vulnerability yang dilaporkan,” ujar CEO Tokopedia, William Tanuwijaya ketika dihubungi KompasTekno, Rabu (20/7/2016).

CEO Bukalapak, Achmad Zaky ketika juga mengakui keberadaan celah keamanan yang ditemukan oleh Herdian. Celah tersebut pun sudah ditutup dan laki-laki yang menemukannya diganjar hadiah sekaligus direkrut menjadi karyawan Bukalapak.

“Benar (ada celah keamanan dan hadiah untuk pelapornya). Bahkan Google dan Facebook juga punya vulnerability juga kan, kadang-kadang. Ya h4ck3r kan ada yang baik dan jahat, kalau yang baik tentu laporan,” ujarnya.

Herdian pun di blog-nya mengaku ketika ini Bukalapak telah mempekerjakannya. “Bukalapak sendiri mengapresiasi positif ke saya dengan mengatakan posisi security engineer,” ujar Herdian.

[su_spoiler title=”Source” style=”simple” icon=”arrow”]Kompas[/su_spoiler]

Sumber https://bacaanku.com/

Berlangganan Informasi Terbaru: