Para Peretas `legal` yang Kantongi Penghasilan Miliaran Rupiah
- bbc
Suatu hari di pertengahan tahun 2016, Pranav Hivarekar, seorang peretas yang bekerja penuh, berusaha menemukan cacat dari fitur terbaru Facebook.
Raksasa media sosial itu mengumumkan, hanya delapan jam sebelumnya, akan mengizinkan para pemakai mengomentari posting yang menggunakan video.
Pranav mulai meretas sistem untuk mengetahui kelemahannya, kesalahan apapun yang dapat para penjahat gunakan untuk membobol jaringan perusahaan dan mencuri data.
Dan dia menemukan kode cacat yang dapat digunakan untuk menghapus semua video dari Facebook.
"Saya menemukan saya dapat mengeksploitasi kode dan bahkan menghapus video yang diunggah Mark Zuckerberg," kata Pranav, yang disebut ethical hacker atau peretas beretika dari kota Pune, India kepada BBC.
Dia melaporkan kesalahan atau bug ini kepada Facebook melalui program ` bug bounty ` atau hadiah bug.
Dua minggu kemudian dia diberikan bayaran ratusan ribu dolar.
Pemburu kesalahan
Sejumlah peretas beretika sekarang berpenghasilan besar dan bisnis ini terus tumbuh.
Pemburu bug biasanya masih muda - lebih dua pertiga peretas berumur 18-29 tahun.
Banyak perusahaan besar yang memberikan bayaran tinggi kepada mereka untuk untuk menemukan cacat pada kode internet sebelum diketahui kriminal internet.
Menemukan bug yang tidak pernah diketahui sebelumnya sangatlah jarang dan penemunya dapat diberikan hadiah ratusan ribu dolar atau miliaran rupiah.
Ini adalah insentif sangat besar bagi para peretas beretika elite atau " white hat " .
"Hadiah adalah satu-satunya pemasukan saya," kata Shivam Vashisht, peretas beretika dari India bagian utara yang berpenghasilan US$125.000 atau Rp1,7 miliar lebih tahun lalu.
"Saya meretas secara legal perusahaan terbesar dunia dan dibayar untuk itu, ini sesuatu yang menyenangkan dan menantang."
Sandeep Singh, salah satu peretas terbaik di HackerOne. - Sandeep Singh
Ini adalah pekerjaan yang tidak mensyaratkan pendidikan resmi atau pengalaman untuk menjadi sukses. Shivam, seperti yang lainnya, mengatakan dia belajar lewat berbagai sumber di internet dan blog.
"Saya tidak tidur selama bermalam-malam untuk mempelajari peretasan dan proses penyerangan sistem. Saya bahkan meninggalkan bangku kuliah di universitas pada tahun kedua."
Dia sekarang menjadikan kegemarannya menemukan cacat pada kode perangkat lunak sebagai karir yang menghasilkan banyak uang, sama seperti peretas lain dari Amerika, Jesse Kinser.
"Saya mulai tertarik pada peretasan saat di universitas, ketika saya mulai banyak meneliti peretasan telepon genggam dan forensik digital," dia menjelaskan lewat email.
"Dalam satu proyek saya mengidentifikasi cara memasukkan app jahat ke app store Android secara diam-diam."
Dana besar
Para pengamat mengatakan program hadiah bug berperan penting untuk membuat mereka termotivasi.
"Berbagai program ini memberikan alternatif legal bagi orang yang ahli teknologi informasi, yang jika tidak melakukannya akan tertarik untuk menjadi penjahat meretas sistem dan menjual data secara ilegal," kata Terry Ray, pejabat tinggi perusahaan keamanan data Imperva.
Pada tahun 2018, peretas AS dan India menyatakan diri mendapatkan hadiah terbesar di dunia, menurut perusahaan keamanan siber HackerOne.
Sebagian dari mereka dapat berpenghasilan lebih dari US$350.000 atau Rp4,9 miliar per tahun.
Perlombaan peretasan bertika berperan agar mereka tetap termotivasi. - Getty Images
Sandeep Singh, yang dikenal dengan nama geekboy di dunia peretasan, mengatakan ini semua adalah hasil kerja keras.
"Saya memerlukan waktu enam bulan dan 54 keberhasilan sebelum mencatat laporan pertama yang dianggap absah sehingga layak menerima bonus."
Peningkatan keamanan
Perusahaan seperti Hacker One, Bug Crowd, Synack dan yang lainnya sekarang menjalankan program hadiah bug untuk organisasi besar dan bahkan pemerintahan.
Mereka bertindak sebagai agen untuk mengawasi para peretas beretika, memverifikasi hasil pekerjaan dan memastikan terjaganya kerahasiaan para klien.
HackerOne, perusahaan hadiah bug terbesar sekarang memiliki hampir 550.000 peretas dan telah mengeluarkan dana lebih dari US$70 juta atau Rp987 miliar, kata Ben Sadeghipour, pimpinan Hacker Operations di perusahaan itu.
"Hadiah bug bukanlah hal baru di industri teknologi, tetapi hadiahnya yang terus meningkat nilainya dipandang sebagai suatu perkembangan wajar dalam usaha memperkuat keamanan organisasi."
Berbagai perusahaan memahami risiko yang dihadapi jika tidak cukup bertindak dalam menemukan sejumlah kelemahan. Cacat ini dapat menimbulkan terjadinya serangan peretasan, sehingga muncul pencurian data, kerugian keuangan dan kerusakan nama baik.
"Dalam beberapa tahun terakhir, pelanggaran siber telah meningkat 80% per tahun, tetapi jumlah orang yang berbakat dalam mengatasinya juga tidak terbatas," kata perusahaan keamanan siber Synack.
P rogram hadiah swasta dan pemerintah
Synack tetap tidak mempercayai program hadiah bug yang dijalankan secara terpisah dari perusahaan teknologi raksasa, termasuk Facebook dan Google, karena mereka memberikan akses kepada peretas "yang belum diperiksa atau tidak terampil" terkait dengan harta digital peka sebuah perusahaan.
"Misalnya, seorang peretas membobol pemandu rumah makan dunia Zomato di tahun 2017 dan dilaporkan mengancam akan menjual data 17 juta pemakai di pasar internet gelap, kecuali perusahaan tersebut melancarkan program hadiah bug ," kata Synack.
Zomato menaruh posting blog, mengakui "sebagian dari infrastruktur kami ... dibobol peretas beretika."
Pada akhirnya, perusahaan memenuhi tuntutan peretas dan berjanji meluncurkan program hadiah bug . Peretas kemudian menghancurkan data.
Para pengamat mengusulkan agar perusahaan memiliki serangkaian langkah perlindungan lain, sebelum mereka membiarkan para pemburu hadiah mengetahuinya.
"Hadiah seharusnya ada di bagian akhir proses, bukannya di permulaan," kata Ian Glover, pimpinan Crest yang memberikan sertifikasi kepada penguji keamanan etika di Inggris.
Terdapat juga kekhawatiran terkait dengan usaha ilegal mendapatkan data peka, termasuk fakta bahwa akses tidak berizin terhadap sebuah sistem dipandang sebagai suatu pelanggaran hukum di sejumlah negara.
Perusahaan keamanan siber mengatakan mereka dapat menawarkan pengujian yang lebih terkontrol melalui peretas beretika.
Perusahaan Ben Sadeghipour, HackerOne sudah mengeluarkan dana lebih dari US$70 juta untuk memberikan hadiah bug. - Getty Images
Lebih mudah bagi para peretas untuk melaporkan kesalahan karena banyak situs internet atau app yang juga tidak memiliki struktur pelaporan bug resmi, kecuali alamat email admin.
"Perusahaan hadiah bug membantu mendapatkan laporan kesalahan agar informasi diterima oleh orang-orang yang tepat," kata penguji keamanan Robbie Wiggins.
Masalah i ndustr i
Apakah sebuah organisasi swasta atau milik umum, ruang hadiah menjadi semakin sempit. Dan tidak semua orang mendapatkan pemasukan yang mencukupi.
Hanya beberapa orang yang mendapatkan banyak uang. Industri ini juga menghadapi masalah lain: ketidakseimbangan gender.
"Keamanan siber secara historis didominasi pria, jadi tidaklah mengherankan jika tahun lalu hanya 4?ri masyarakat peretas dunia yang berjenis kelamin perempuan," kata Casey Ellis dari Bug Crowd.
Perusahaan, bersama-sama dengan raksasa industri lainnya, meluncurkan berbagai langkah untuk mendorong lebih banyak perempuan bergabung dalam usaha membuat internet lebih aman. Tetapi banyak hal yang perlu diubah.
"Ini karena kita menilai pekerjaan perempuan lebih rendah dari pada pria. Ini adalah sebuah endemi," kata Jesse Kinser kepada Mashable.
"Saya melihat ini lebih merupakan masalah kemasyarakatan. Ini bukannya untuk membuat lebih banyak perempuan tertarik teknologi, kami sudah tertarik, kami sudah siap sejak permulaan."
Sementara tuntutan bagi internet yang aman semakin meningkat, dia berharap akan lebih banyak lebih banyak perempuan yang bergabung dan mendapatkan dukungan masyarakat peretas.
Dia berpikir, perubahan sekecil apa pun akan sangat berguna.
"Semua hal seberapapun ukurannya adalah sebuah momentum ke arah yang tepat," katanya.