Herdian Diganjar 25 Juta Rupiah Usai Bobol Bukalapak dan Tokopedia

Sekalian direkrut jadi karyawan

Herdian Nugraha sukses membobol keamanan situs e-commerce Bukalapak, Tokopedia dan Sribu. Pembobolan tersebut dilakukan dengan cara yang sederhana, yaitu hanya melalui fitur upload gambar dalam ketiga situs tersebut. Namun, pembobolan tersebut dilakukannya bukan untuk tindakan merusak. Setelah menemukan celah, menjajal membobolnya dan berhasil, dia hanya mendokumentasikan berbagai hal terkait kelemahan tersebut.

Dilansir Liputan6.com, celah keamanan yang berada di fitur upload tersebut terkait dengan alat pemrosesan gambar bernama ImageMagick. Beberapa bulan lalu seorang bernama Nikolay Ermishkin menemukan sejumlah cacat pada alat pemrosesan tersebut dan menamainya sebagai "ImageTragick".

Herdian Diganjar 25 Juta Rupiah Usai Bobol Bukalapak dan Tokopediakompas.com

ImageMagick memungkinkan seseorang mendapatkan hak akses penuh ke server, misalnya melihat informasi penting, seperti akun dan password pengguna. Dokumentasi celah keamanan tersebut pun akhirnya diserahkan Herdian pada Tokopedia, Bukalapak dan Sribu pada Juni lalu dan langsung mendapat respon dari masing-masing situs.

Baca Juga: Cuma Iseng, Bocah Ingusan Ini Dapat Rp 132 Juta Berkat Penemuan Bug Instagram

Herdian mendapatkan hadiah 15 juta rupiah dan direkrut sebagai karyawan Bukalapak.

Herdian Diganjar 25 Juta Rupiah Usai Bobol Bukalapak dan Tokopediakomunitasbukalapak.com

Tahu situsnya rentan kebobolan, ketiga situs tersebut langsung menutup celah keamanan yang dilaporkan Herdian. Bukalapak pun langsung merespons laporan dengan memberi ucapan terima kasih kepada Herdian berupa uang 15 juta rupiah. Tokopedia juga memberikan sertifikat dan uang 10 juta rupiah, sedangkan Sribu hanya mengucapkan terima kasih.

Herdian Diganjar 25 Juta Rupiah Usai Bobol Bukalapak dan TokopediaTokopedia - startupbisnis.com

Soal keberadaan hadiah tersebut juga dibenarkan oleh CEO Tokopedia William Tanuwijaya dan CEO Bukalapak Achmad Zaky. Menurut mereka, laporan terkait celah keamanan memang memiliki penghargaan tersendiri.

Zaky juga mengakui keberadaan celah keamanan yang ditemukan oleh Herdian. Celah tersebut kini sudah ditutup dan pria yang menemukannya diganjar hadiah sekaligus direkrut menjadi karyawan Bukalapak.

Semua bermula dari iseng.

Herdian Diganjar 25 Juta Rupiah Usai Bobol Bukalapak dan Tokopedialinkedin.com

Praktisi keamanan komputer bernama Herdian Nugraha menemukan celah keamanan dalam situs-situs belanja online, Tokopedia, Bukalapak, dan situs pesan desain online, Sribu.com. Herdian mengaku bisa membobol situs-situs milik startup Indonesia tersebut dan kemudian menginformasikannya ke pihak terkait.

Saat itu dia sedang mencari-cari barang di Bukalapak. Dia kemudian melihat fitur upload foto profil. Dari situlah dia kemudian iseng untuk mencoba-coba apakah di fitur tersebut ada celah. Ternyata ada.

Herdian membeberkan metode pembobolannya di blog pribadinya. Dia mengakses server ketiga situs dengan memanfaatkan celah keamanan bernama ImageTragick. Celah keamanan ada pada ImageMagick, piranti lunak yang biasa digunakan oleh layanan web untuk memproses foto atau gambar.

Untuk membobol server, Herdian kemudian membuat file MVG (ImageMagick Vector Graphic) yang telah dimodifikasi yang kemudian disimpan dalam format JPG/PNG/GIF untuk diunggah di situs Tokopedia, Bukalapak dan Sribu.

Setelah file gambar yang dimodifikasi tersebut diunggah, Herdian langsung mendapatkan hak penuh akses server di ketiga situs. Di sana, dia bisa mendapatkan data penting, seperti alamat email dan password pengguna.

Baca Juga: Web Series Bukalapak Sukses Bikin Kamu Kangen Kampung Halaman (Lagi)!

Topik:

Berita Terkini Lainnya