Begini Cara Herdian Membobol Server Bukalapak dan Tokopedia


Begini Cara Herdian Membobol Server Bukalapak dan Tokopedia
thumbnail-caption

Praktisi keamanan komputer bernama Herdian Nugraha menemukan celah keamanan dalam situs-situs belanja online, Tokopedia, Bukalapak, dan situs pesan desain online, Sribu.com.

Herdian mengaku bisa membobol situs-situs milik startup Indonesia tersebut dan kemudian menginformasikannya ke pihak terkait.

“Saya sedang mencari-cari barang di Bukalapak. Lalu melihat fitur upload foto profil, nah di situ saya mulai iseng untuk mencoba-coba apakah di fitur tersebut ada celah. Ternyata ada,” ujar Herdian saat dihubungi KompasTekno, Rabu (20/7/2016).

Dalam situs blog pribadinya, Herdian membeberkan metode pembobolannya. Ia mengakses server ketiga situs dengan memanfaatkan celah keamanan bernama ImageTragick.

Celah keamanan ImageTragick, dikutip KompasTekno dari Mail.ru, memanfaatkan kelemahan ImageMagick, piranti lunak yang biasa digunakan oleh layanan web untuk memproses foto atau gambar. Bug tersebut ditemukan oleh peneliti keamanan Nikolay Ermishkin pada Mei 2016 lalu.

Untuk membobol server, Herdian kemudian membuat file MVG (ImageMagick Vector Graphic) yang telah dimodifikasi yang kemudian disimpan dalam format JPG/PNG/GIF untuk diunggah di situs Tokopedia, Bukalapak, dan Sribu.

Setelah file gambar yang dimodifikasi itu diunggah, Herdian pun mendapatkan hak penuh akses server di ketiga situs. Di sana, ia bisa mendapatkan data penting, seperti alamat e-mail dan password pengguna.

“Sebenarnya jika konfigurasi server-nya lemah, mungkin satu sistem itu sudah bisa kontrol dan beberapa data-data pengguna bisa diambil,” terang Herdian.

Di antara ketiga target yang dicoba oleh Herdian, sebenarnya lapisan keamanannya cukup baik. Namun Bukalapak diakuinya cenderung lebih sulit karena secara rutin meng-update sistem.

Langkah-langkah yang diungkap oleh Herdian terlihat sederhana namun sesungguhnya memerlukan kemampuan pemrograman yang cukup mumpuni.

Herdian mendokumentasikan cara menggunakan celah keamanan ImageMagick dalam blog-nya. Herdian juga mengaku tindakannya itu bukan ditujukan untuk merusak.

Dokumentasi celah keamanan itu pun diserahkan Herdian ke Tokopedia, Bukalapak, dan Sribu pada Juni lalu dan langsung mendapat respon dari masing-masing situs.

Berdasarkan informasi tersebut, ketiga situs tersebut langsung menutup celah keamanan yang dilaporkan Herdian. Langkah-langkah yang dibeberkan Herdian pun saat ini sudah tidak mempan untuk membobol situs-situs tersebut.

Mendapat hadiah dan direkrut Bukalapak

Bukalapak merespon laporan dengan memberi ucapan terima kasih ke Herdian berupa uang Rp 15 juta, Tokopedia memberikan sertifikat dan uang Rp 10 juta, sedangkan Sribu mengucapkan terima kasih.

“Kami memang menghargai laporan yang sifatnya vulnerability bug. (Hadiah yang diberikan) bervariasi, sesuai dengan tingkat vulnerability yang dilaporkan,” ujar CEO Tokopedia, William Tanuwijaya saat dihubungi KompasTekno, Rabu (20/7/2016).

CEO Bukalapak, Achmad Zaky saat juga mengakui keberadaan celah keamanan yang ditemukan oleh Herdian. Celah tersebut pun sudah ditutup dan pria yang menemukannya diganjar hadiah sekaligus direkrut menjadi karyawan Bukalapak.

“Benar (ada celah keamanan dan hadiah untuk pelapornya). Bahkan Google dan Facebook juga punya vulnerability juga kan, kadang-kadang. Ya hacker kan ada yang baik dan jahat, kalau yang baik tentu laporan,” ujarnya.

Herdian pun di blog-nya mengaku saat ini Bukalapak telah mempekerjakannya. “Bukalapak sendiri mengapresiasi positif ke saya dengan menawarkan posisi security engineer,” ujar Herdian.

[su_spoiler title=”Source” style=”simple” icon=”arrow”]Kompas[/su_spoiler]


Mungkin Kamu Juga Suka :

What's Your Reaction?

Cute Cute
0
Cute
Cuek Cuek
0
Cuek
Lol Lol
0
Lol
Love Love
0
Love
OMG OMG
0
OMG
Angry Angry
0
Angry
Like Like
0
Like
Dislike Dislike
0
Dislike

Comments 0

Your email address will not be published. Required fields are marked *

log in

Become a part of our community!

Captcha!
Don't have an account?
sign up

reset password

Back to
log in

sign up

Captcha!
Back to
log in
Choose A Format
Personality quiz
Series of questions that intends to reveal something about the personality
Trivia quiz
Series of questions with right and wrong answers that intends to check knowledge
Poll
Voting to make decisions or determine opinions
Story
Formatted Text with Embeds and Visuals
List
The Classic Internet Listicles
Open List
Open List
Ranked List
Ranked List
Meme
Upload your own images to make custom memes
Image
Photo or GIF
Gif
GIF format

Send this to a friend