Begini Cara Herdian Membobol Server Bukalapak dan Tokopedia
- Praktisi keamanan komputer bernama Herdian Nugraha menemukan celah keamanan dalam situs-situs belanja online, Tokopedia, Bukalapak, dan situs pesan desain online, Sribu.com.
Herdian mengaku bisa membobol situs-situs milik startup Indonesia tersebut dan kemudian menginformasikannya ke pihak terkait.
"Saya sedang mencari-cari barang di Bukalapak. Lalu melihat fitur upload foto profil, nah di situ saya mulai iseng untuk mencoba-coba apakah di fitur tersebut ada celah. Ternyata ada," ujar Herdian saat dihubungi KompasTekno, Rabu (20/7/2016).
Dalam situs blog pribadinya, Herdian membeberkan metode pembobolannya. Ia mengakses server ketiga situs dengan memanfaatkan celah keamanan bernama ImageTragick.
Celah keamanan ImageTragick, dikutip KompasTekno dari Mail.ru, memanfaatkan kelemahan ImageMagick, piranti lunak yang biasa digunakan oleh layanan web untuk memproses foto atau gambar. Bug tersebut ditemukan oleh peneliti keamanan Nikolay Ermishkin pada Mei 2016 lalu.
#ImageTragick RCE exploit #
— Nikolay Ermishkin (@__sl1m) May 3, 2016
Untuk membobol server, Herdian kemudian membuat file MVG (ImageMagick Vector Graphic) yang telah dimodifikasi yang kemudian disimpan dalam format JPG/PNG/GIF untuk diunggah di situs Tokopedia, Bukalapak, dan Sribu.
Setelah file gambar yang dimodifikasi itu diunggah, Herdian pun mendapatkan hak penuh akses server di ketiga situs. Di sana, ia bisa mendapatkan data penting, seperti alamat e-mail dan password pengguna.
"Sebenarnya jika konfigurasi server-nya lemah, mungkin satu sistem itu sudah bisa kontrol dan beberapa data-data pengguna bisa diambil," terang Herdian.
Di antara ketiga target yang dicoba oleh Herdian, sebenarnya lapisan keamanannya cukup baik. Namun Bukalapak diakuinya cenderung lebih sulit karena secara rutin meng-update sistem.
Langkah-langkah yang diungkap oleh Herdian terlihat sederhana namun sesungguhnya memerlukan kemampuan pemrograman yang cukup mumpuni.
Blog Herdian NugrahaDokumentasi celah keamanan itu pun diserahkan Herdian ke Tokopedia, Bukalapak, dan Sribu pada Juni lalu dan langsung mendapat respon dari masing-masing situs.
Berdasarkan informasi tersebut, ketiga situs tersebut langsung menutup celah keamanan yang dilaporkan Herdian. Langkah-langkah yang dibeberkan Herdian pun saat ini sudah tidak mempan untuk membobol situs-situs tersebut.
Mendapat hadiah dan direkrut Bukalapak
Bukalapak merespon laporan dengan memberi ucapan terima kasih ke Herdian berupa uang Rp 15 juta, Tokopedia memberikan sertifikat dan uang Rp 10 juta, sedangkan Sribu mengucapkan terima kasih.
Terkini Lainnya
- Cisco Umumkan Perangkat WiFi 7 Access Point Pertama, Kecepatan Tembus 24 Gbps
- Penyebab Nomor Telepon Tidak Bisa Dicek di GetContact
- Ini Sebab Bali Jadi Tempat Peluncuran Global Oppo Find X8
- Telkomsel Dukung Industri Game Nasional lewat Keikutsertaan di MPL ID S14
- Cara Membuat YouTube Music "2024 Recap" yang Mirip Spotify Wrapped
- Oppo Rilis Antarmuka ColorOS 15 Global, Sudah Bisa "Circle-to-Search"
- Tablet Oppo Pad 3 Pro Meluncur Global dari Bali, Dilengkapi AI
- Samsung Galaxy Z Flip 7 FE Meluncur Tahun Depan?
- 3 Cara Blokir Telepon Spam di iPhone dengan Mudah dan Praktis
- Algoritma Instagram Kini Bisa Direset, Rekomendasi Konten Bisa Kembali ke Awal
- YouTube Gaming Recap 2024 Dirilis, Kilas Balik Tontonan Game Sepanjang Tahun
- Oppo Find X8 Resmi di Indonesia, HP Pertama dengan Dimensity 9400
- Oppo Find X8 Pro Resmi dengan Tombol Kamera "Quick Button", Ini Harganya di Indonesia
- Suasana Peluncuran Global Oppo Find X8 Series di Bali, Dihadiri Undangan dari Berbagai Negara
- Spesifikasi dan Harga Samsung Galaxy A16 5G di Indonesia