Herdian Diganjar 25 Juta Rupiah Usai Bobol Bukalapak dan Tokopedia

Tahu situsnya rentan kebobolan, ketiga situs tersebut langsung menutup celah keamanan yang dilaporkan Herdian. Bukalapak pun langsung merespons laporan dengan memberi ucapan terima kasih kepada Herdian berupa uang 15 juta rupiah. Tokopedia juga memberikan sertifikat dan uang 10 juta rupiah, sedangkan Sribu hanya mengucapkan terima kasih.

Soal keberadaan hadiah tersebut juga dibenarkan oleh CEO Tokopedia William Tanuwijaya dan CEO Bukalapak Achmad Zaky. Menurut mereka, laporan terkait celah keamanan memang memiliki penghargaan tersendiri.

Zaky juga mengakui keberadaan celah keamanan yang ditemukan oleh Herdian. Celah tersebut kini sudah ditutup dan pria yang menemukannya diganjar hadiah sekaligus direkrut menjadi karyawan Bukalapak.

Praktisi keamanan komputer bernama Herdian Nugraha menemukan celah keamanan dalam situs-situs belanja online, Tokopedia, Bukalapak, dan situs pesan desain online, Sribu.com. Herdian mengaku bisa membobol situs-situs milik startup Indonesia tersebut dan kemudian menginformasikannya ke pihak terkait.

Saat itu dia sedang mencari-cari barang di Bukalapak. Dia kemudian melihat fitur upload foto profil. Dari situlah dia kemudian iseng untuk mencoba-coba apakah di fitur tersebut ada celah. Ternyata ada.

Herdian membeberkan metode pembobolannya di blog pribadinya. Dia mengakses server ketiga situs dengan memanfaatkan celah keamanan bernama ImageTragick. Celah keamanan ada pada ImageMagick, piranti lunak yang biasa digunakan oleh layanan web untuk memproses foto atau gambar.

Untuk membobol server, Herdian kemudian membuat file MVG (ImageMagick Vector Graphic) yang telah dimodifikasi yang kemudian disimpan dalam format JPG/PNG/GIF untuk diunggah di situs Tokopedia, Bukalapak dan Sribu.

Setelah file gambar yang dimodifikasi tersebut diunggah, Herdian langsung mendapatkan hak penuh akses server di ketiga situs. Di sana, dia bisa mendapatkan data penting, seperti alamat email dan password pengguna.