Bobol Situs Jual Beli Online Tokopedia dan Bukalapak, Peretas ini Dapat Jutaan Rupiah

klg asli

berhasil

Situs Jual Beli Online terbaik di Indonesia Tokopedia dan Bukalapak Dibobol Hack

Wartainfo.com - Seorang praktisi keamanan komputer bernama Herdian Nugraha mengaku berhasil membobol keamanan situs-situs belanja online, Tokopedia, Bukalapak, dan situs pesan desain online, Sribu.com. Pembobolan itu dilakukan melalui fitur upload gambar dalam ketiga situs tersebut.

Namun, pembobolan tersebut, seperti diakui dalam blog pribadi yang beralamat di blog.hrdn.us, bukanlah untuk tindakan merusak. Setelah menemukan celah, menjajal membobolnya dan berhasil, dia hanya mendokumentasikan berbagai hal terkait kelemahan itu.

Celah keamanan yang berada di fitur upload itu terkait dengan alat pemrosesan gambar bernama ImageMagick. Seperti diketahui, beberapa bulan lalu seorang bernama Nikolay Ermishkin menemukan sejumlah cacat pada alat pemrosesan tersebut dan menamainya sebagai "ImageTragick".

ImageMagick memungkinkan seseorang mendapatkan hak akses penuh ke server, misalnya melihat informasi penting, seperti akun dan password pengguna.

Dokumentasi celah keamanan itu pun akhirnya diserahkan Herdian pada Tokopedia, Bukalapak, dan Sribu pada Juni lalu dan langsung mendapat respons dari masing-masing situs. Dikutip dari KompasTekno, Herdian mengaku bisa membobol situs-situs milik startup Indonesia tersebut dan kemudian menginformasikannya ke pihak terkait.

"Saya sedang mencari-cari barang di Bukalapak. Lalu melihat fitur upload foto profil, nah di situ saya mulai iseng untuk mencoba-coba apakah di fitur tersebut ada celah. Ternyata ada," ujar Herdian (20/7/2016).

Baca juga:

Dalam situs blog pribadinya, Herdian membeberkan metode pembobolannya. Ia mengakses server ketiga situs dengan memanfaatkan celah keamanan ImageTragick.

Untuk membobol server, Herdian kemudian membuat file MVG (ImageMagick Vector Graphic) yang telah dimodifikasi yang kemudian disimpan dalam format JPG/PNG/GIF untuk diunggah di situs Tokopedia, Bukalapak, dan Sribu.

Setelah file gambar yang dimodifikasi itu diunggah, Herdian pun mendapatkan hak penuh akses server di ketiga situs. Di sana, ia bisa mendapatkan data penting, seperti alamat e-mail dan password pengguna.

"Sebenarnya jika konfigurasi server-nya lemah, mungkin satu sistem itu sudah bisa kontrol dan beberapa data-data pengguna bisa diambil," terang Herdian.

Di antara ketiga target yang dicoba oleh Herdian, sebenarnya lapisan keamanannya cukup baik. Namun Bukalapak diakuinya cenderung lebih sulit karena secara rutin meng-update sistem.

Langkah-langkah yang diungkap oleh Herdian terlihat sederhana namun sesungguhnya memerlukan kemampuan pemrograman yang cukup mumpuni.

Mendapat Hadiah Puluhan Juta dan Direkrut Jadi Karyaean di Bukalapak

Foto Blog Herdian Nugraha Hacker Pembobol Tokopedia dan Bukalapak

Blog Herdian Nugraha, Hacker Pembobol situs jual beli online Tokopedia dan Bukalapak

Bukalapak merespon laporan dengan memberi ucapan terima kasih ke Herdian berupa uang Rp 15 juta, Tokopedia memberikan sertifikat dan uang Rp 10 juta, sedangkan Sribu mengucapkan terima kasih.

“Kami memang menghargai laporan yang sifatnya vulnerability bug. (Hadiah yang diberikan) bervariasi, sesuai dengan tingkat vulnerability yang dilaporkan,” ujar CEO Tokopedia, William Tanuwijaya.

CEO Bukalapak, Achmad Zaky saat juga mengakui keberadaan celah keamanan yang ditemukan oleh Herdian. Celah tersebut pun sudah ditutup dan pria yang menemukannya diganjar hadiah sekaligus direkrut menjadi karyawan Bukalapak.

“Benar (ada celah keamanan dan hadiah untuk pelapornya). Bahkan Google dan Facebook juga punya vulnerability juga kan, kadang-kadang. Ya hacker kan ada yang baik dan jahat, kalau yang baik tentu laporan,” ujarnya.

Herdian pun di blog-nya mengaku saat ini Bukalapak telah mempekerjakannya. "Bukalapak sendiri mengapresiasi positif ke saya dengan menawarkan posisi security engineer," ujar Herdian Nugraha. (wartainfo.com)

Category: internet, TeknologiTags:
Jayabet