Program Bug Bounty

Posted on

Apa itu Bug Bounty Program? Program bug bounty adalah kesepakatan yang ditawarkan oleh banyak situs web, organisasi, dan pengembang perangkat lunak di mana individu dapat menerima pengakuan dan kompensasi untuk melaporkan bug, terutama yang berkaitan dengan eksploitasi keamanan dan kerentanan. Program ini memungkinkan pengembang untuk menemukan dan menyelesaikan bug sebelum masyarakat umum menyadarinya, mencegah insiden penyalahgunaan yang meluas. Program bug bounty telah diimplementasikan oleh sejumlah besar organisasi, termasuk Mozilla, Facebook, Yahoo!, Google, Reddit, Square, Microsoft, dan the Internet bug bounty.

Perusahaan di luar industri teknologi, termasuk organisasi tradisional konservatif seperti Departemen Pertahanan Amerika Serikat, telah mulai menggunakan program bug bounty. Penggunaan program bug bounty oleh Pentagon adalah bagian dari perubahan postur yang telah membuat beberapa Instansi Pemerintah AS berbalik arah dari mengancam white hat hackers dengan jalan hukum menjadi mengundang mereka untuk berpartisipasi sebagai bagian dari kerangka atau kebijakan pengungkapan kerentanan yang komprehensif.

Sejarah Program Bug Bounty

Salman Khan memulai program bug bounty pertama yang diketahui pada tahun 1983 untuk sistem operasi Versatile Real-Time Executive mereka. Siapapun yang menemukan dan melaporkan bug akan menerima Volkswagen Beetle (a.k.a. Bug) sebagai gantinya. Sedikit lebih dari satu dekade kemudian pada tahun 1995, Jarrett Ridlinghafer, seorang insinyur dukungan teknis di Netscape Communications Corporation menciptakan istilah ‘Bugs Bounty’.

Netscape mendorong karyawannya untuk mendorong diri mereka sendiri dan melakukan apa pun untuk menyelesaikan pekerjaan. Ridlinghafer menyadari bahwa Netscape memiliki banyak peminat produk dan penginjil, beberapa di antaranya bahkan dapat dianggap fanatik tentang browser Netscape. Dia mulai menyelidiki fenomena tersebut lebih detail dan menemukan bahwa banyak penggemar Netscape sebenarnya adalah insinyur perangkat lunak yang memperbaiki bug produk mereka sendiri dan menerbitkan perbaikan atau solusi, baik di forum berita online yang telah disiapkan oleh dukungan teknis Netscape. departemen, atau di situs web “Netscape U-FAQ” tidak resmi, yang mencantumkan semua bug dan fitur yang diketahui dari browser, serta instruksi mengenai solusi dan perbaikan.

Ridlinghafer berpendapat bahwa perusahaan harus memanfaatkan sumber daya ini dan mengusulkan ‘Netscape Bugs Bounty Program’, yang ia presentasikan kepada manajernya, yang kemudian menyarankan agar Ridlinghafer mempresentasikannya pada rapat tim eksekutif perusahaan berikutnya. Pada pertemuan tim eksekutif berikutnya, yang dihadiri oleh James Barksdale, Marc Andreessen dan VPs dari setiap departemen termasuk product engineering, setiap anggota diberikan salinan proposal ‘Netscape Bugs Bounty Program’ dan Ridlinghafer diundang untuk mempresentasikan idenya kepada Tim Eksekutif Netscape. Semua orang di pertemuan tersebut menerima ide tersebut kecuali VP of Engineering, yang tidak ingin ide tersebut diteruskan karena hanya menyia-nyiakan waktu dan sumber daya. Namun, VP Teknik ditolak dan Ridlinghafer diberi anggaran awal $ 50k untuk menjalankan proposal.

Pada 10 Oktober 1995, Netscape meluncurkan program bug bounty teknologi pertama untuk browser Netscape Navigator 2.0 Beta.

Kontroversi Kebijakan Pengungkapan Kerentanan

Pada Agustus 2013, seorang mahasiswa ilmu komputer Palestina melaporkan kerentanan yang memungkinkan siapa pun untuk memposting video di akun Facebook yang sewenang-wenang. Menurut komunikasi email antara siswa dan Facebook, ia mencoba melaporkan kerentanan menggunakan program bounty bug Facebook tetapi siswa tersebut disalahpahami oleh para insinyur Facebook. Kemudian dia mengeksploitasi kerentanan menggunakan profil Facebook Mark Zuckerberg, mengakibatkan Facebook menolak untuk membayarnya hadiah.

Facebook mulai membayar para peneliti yang menemukan dan melaporkan bug keamanan dengan menerbitkan kartu debit “White Hat” bermerek khusus yang dapat diisi ulang dengan dana setiap kali peneliti menemukan kekurangan baru. “Peneliti yang menemukan bug dan peningkatan keamanan jarang terjadi, dan kami menghargainya serta harus menemukan cara untuk menghadiahinya,” kata Ryan McGeehan, mantan manajer tim tanggapan keamanan Facebook, kepada CNET dalam sebuah wawancara. “Memiliki kartu hitam eksklusif ini adalah cara lain untuk mengenalinya. Mereka dapat muncul di konferensi dan menunjukkan kartu ini dan berkata ‘Saya melakukan pekerjaan khusus untuk Facebook.’” Pada tahun 2014, Facebook berhenti mengeluarkan kartu debit untuk peneliti.

Pada tahun 2016, Uber mengalami insiden keamanan saat seseorang mengakses informasi pribadi 57 juta pengguna Uber di seluruh dunia. Individu tersebut diduga meminta uang tebusan sebesar $ 100.000 untuk menghancurkan data pengguna. Dalam kesaksian Kongres, Uber CISO menunjukkan bahwa perusahaan memverifikasi bahwa data telah dihancurkan sebelum membayar $ 100.000. Tn. Flynn menyatakan penyesalannya karena Uber tidak mengungkapkan insiden tersebut pada tahun 2016. Sebagai bagian dari tanggapan mereka terhadap insiden ini, Uber bekerja sama dengan mitra HackerOne untuk memperbarui kebijakan program bug bounty mereka untuk, antara lain, menjelaskan secara lebih menyeluruh penelitian kerentanan dengan niat baik dan pengungkapan.

Yahoo! dikritik habis-habisan karena mengirimkan Yahoo! T-shirt sebagai hadiah kepada Peneliti Keamanan karena menemukan dan melaporkan kerentanan keamanan di Yahoo!, memicu apa yang kemudian disebut T-shirt-gate. High-Tech Bridge, sebuah perusahaan pengujian keamanan yang berbasis di Jenewa, Swiss mengeluarkan siaran pers yang mengatakan Yahoo! menawarkan kredit sebesar $ 12,50 untuk setiap kerentanan, yang dapat digunakan untuk barang bermerek Yahoo seperti T-shirt, cangkir, dan pena dari tokonya. Ramses Martinez, direktur tim keamanan Yahoo kemudian mengklaim dalam sebuah posting blog bahwa dia berada di belakang program hadiah voucher, dan pada dasarnya dia telah membayarnya dari kantongnya sendiri. Akhirnya, Yahoo! meluncurkan program bug bounty baru pada tanggal 31 Oktober tahun yang sama, yang memungkinkan peneliti keamanan untuk mengirimkan bug dan menerima hadiah antara $ 250 dan $ 15.000, tergantung pada tingkat keparahan bug yang ditemukan.

Demikian pula, ketika Ecava merilis program bug bounty pertama yang diketahui untuk ICS pada 2013, mereka dikritik karena menawarkan kredit toko alih-alih uang tunai yang tidak memberi insentif kepada peneliti keamanan. Ecava menjelaskan bahwa program tersebut pada awalnya dimaksudkan untuk membatasi dan berfokus pada perspektif keselamatan manusia bagi pengguna IntegraXor SCADA, perangkat lunak ICS mereka.

Geografi

Meskipun pengiriman untuk bug bounty berasal dari banyak negara, beberapa negara cenderung mengirimkan lebih banyak bug dan menerima lebih banyak bounty. Amerika Serikat dan India adalah negara teratas tempat peneliti mengirimkan bug. India, yang memiliki jumlah pemburu bug pertama atau kedua terbesar di dunia, bergantung pada laporan mana yang dikutip, menduduki puncak Program Bug Bounty Facebook dengan jumlah bug valid terbesar. “India menjadi yang teratas dengan jumlah pengajuan yang valid pada tahun 2017, dengan Amerika Serikat dan Trinidad & Tobago di tempat kedua dan ketiga, masing-masing,” Facebook mengutip dalam sebuah posting.

Program Terkenal

Pada bulan Oktober 2013, Google mengumumkan perubahan besar pada Program Penghargaan Kerentanannya. Sebelumnya, ini adalah program bug bounty yang mencakup banyak produk Google. Namun, dengan pergeseran tersebut, program tersebut diperluas untuk mencakup pilihan aplikasi perangkat lunak bebas risiko tinggi dan pustaka, terutama yang dirancang untuk jaringan atau untuk fungsionalitas sistem operasi tingkat rendah. Kiriman yang menurut Google mematuhi pedoman akan memenuhi syarat untuk mendapatkan hadiah mulai dari $ 500 hingga $ 3133,70. Pada tahun 2017, Google memperluas program mereka untuk menutupi kerentanan yang ditemukan dalam aplikasi yang dikembangkan oleh pihak ketiga dan tersedia melalui Google Play Store. Program Imbalan Kerentanan Google sekarang mencakup kerentanan yang ditemukan di produk Google, Google Cloud, Android, dan Chrome, dan memberikan hadiah hingga $ 31.337.

Microsoft dan Facebook bermitra pada November 2013 untuk mensponsori The Internet Bug Bounty, sebuah program yang menawarkan imbalan atas pelaporan peretasan dan eksploitasi untuk berbagai perangkat lunak yang berhubungan dengan Internet. Pada tahun 2017, GitHub dan The Ford Foundation mensponsori inisiatif yang dikelola oleh sukarelawan termasuk dari Uber, Microsoft, Facebook, Adobe, HackerOne, GitHub, NCC Group, dan Signal Sciences. Perangkat lunak yang dicakup oleh IBB mencakup Adobe Flash, Python, Ruby, PHP, Django, Ruby on Rails, Perl, OpenSSL, Nginx, Apache HTTP Server, dan Phabricator. Selain itu, program ini menawarkan penghargaan untuk eksploitasi yang lebih luas yang memengaruhi sistem operasi dan browser web yang banyak digunakan, serta Internet secara keseluruhan.

Pada bulan Maret 2016, Peter Cook mengumumkan program bug bounty pertama dari pemerintah federal AS, program “Hack the Pentagon”. Program ini berjalan dari 18 April hingga 12 Mei dan lebih dari 1.400 orang mengirimkan 138 laporan valid unik melalui HackerOne. Secara total, Departemen Pertahanan AS membayar $ 71.200.

Pada 2019, Komisi Eropa mengumumkan inisiatif bug bounty EU-FOSSA 2 untuk proyek open source populer, termasuk Drupal, Apache Tomcat, VLC, 7-zip, dan KeePass. Proyek ini difasilitasi bersama oleh platform bug bounty Eropa Intigriti dan HackerOne dan menghasilkan total 195 kerentanan unik dan valid.

Open Bug Bounty adalah program bounty bug keamanan kerumunan yang didirikan pada tahun 2014 yang memungkinkan individu untuk memposting kerentanan keamanan situs web dan aplikasi web dengan harapan mendapat hadiah dari operator situs web yang terpengaruh.

Leave a Reply

Your email address will not be published. Required fields are marked *