Bugbounty UBER, jadikan tantangan untuk hacker Indonesia

Josua Sinambela
Follow me

Josua Sinambela

Professional Computer Network & Information Security Consultant, Digital Forensic Investigator. Have more than 14 years of experiences in Networking Technology & InfoSec fields
Josua Sinambela
Follow me

bug_bounty_online_servicesINFOsec.ID – Program bug bounty ini bisa menjadi salah satu program tantangan untuk hacker-hacker di Indonesia. Di Indonesia sebenarnya banyak praktisi yang mumpuni dibidang keamanan, khususnya penemu kelemahan web dan aplikasi layanan TI lainnya. Beberapa waktu lalu seorang praktisi dan developer yang berasal dari indonesia pernah mengungkap kelemahan layanan TI Go-Jek setelah menginformasikan ke pengembang Go-jek, meskipun Go-Jek belum mengadakan program bug bounty saat itu. Nah, saat ini ada Uber yang secara terbuka mengumumkan program Bug Bounty. Semoga banyak hacker-hacker indonesia yang tertarik dan beruntung mendapatkan hadiah dari Uber tersebut.

Kegiatan Bug bounty pada dasarnya merupakan suatu program yang diperuntukkan bagi para praktisi keamanan untuk mencari celah-celah yang rentan dieksploitasi dari suatu produk layanan yang berbasis TI. Program ini pada umumnya dibuat oleh perusahaan-perusahaan besar yang sangat bergantung pada media internet untuk mengizinkan bug hunter (istilah peserta bug bounty) mencari celah keamanan dari produk mereka. Sebut saja Microsoft, Twitter, Google, Facebook, PayPal, ataupun perusahaan raksasa lainnya yang selalu menjadi langganan bagi para bug hunter untuk melaporkan celah keamanan.

Tahun 2015 lalu, Uber sudah mengadakan program bug bounty secara tertutup dengan mengundang 200 security researcher. Saat itu mereka menemukan hampir 100 bugs, yang saat ini sudah diperbaiki semuanya. Program tersebut sangat membantu meningkatkan keamanan sistem informasi Uber.
Tanggal 22 Maret 2016 lalu, Uber mengumumkan secara publik adanya program bug bounty dengan hadiah hingga USD 10.000 untuk temuan bug-bug bersifat kritikal.
Sesi program bug bounty Uber ini akan dimulai sejak 1 Mei 2016, dan berlangsung 90 hari. Bug hunter yang memenuhi syarat untuk mendapatkan reward adalah yang menemukan 4 kelemahan dari sistem Uber. Jika menemukan kelemahan kelima pada sesi 90 hari tersebut, maka mendapatkan bonus tambahan.

Berikut detil informasi hadiah yang mungkin diperoleh para bug hunter

Critical issues ($10,000) – Remote code execution on a production server. Exposure of information that identifies individuals (social security numbers, credit card numbers, bank account numbers, driver license images) Full account takeover of rider/partner account without interaction. Payment or partner invoice information exposure at scale. Potential access to source code. XSS in Toolshed (our internal account management system), or server-side request forgery (SSRF). Vulnerabilities leading to the compromise of an employee account (with a way to bypass two-factor).

Significant Issues ($5,000) – Stored Cross-site Scripting which can cause significant brand damage (e.g. in a homepage), missing authorization checks leading to the exposure of email addresses, date of birth, names, phone numbers, etc.

Medium Issues ($3,000) – Reflected Cross-site Scripting (XSS), most Cross-site Request Forgery (CSRF) issues, access control issues which do not exposed PII but affect other accounts, rate limiting issues, account validation bypasses (being able to change driver picture, etc). Any vulnerability which allows the bulk lookup of user UUIDs (e.g. turn an auto-incrementing ID into a UUID, turn an email into a UUID).

Program bug bounty yang diadakan Uber ini dikelola oleh hackerone, sebuah perusahaan yang berfokus pada bug bounty program, untuk selengkapnya dapat dipelajari melalui https://hackerone.com/uber

Facebook Comments

Josua Sinambela

Professional Computer Network & Information Security Consultant, Digital Forensic Investigator. Have more than 14 years of experiences in Networking Technology & InfoSec fields

You May Also Like