Hacker Bobol 35 Perusahaan Teknologi Besar, Dapat Hadiah Rp 1,8 Miliar
- Seorang peneliti keamanan bernama Alex Birsan baru-baru ini berhasil meretas lebih dari 35 perusahaan raksasa teknologi, termasuk Apple, Microsoft, Netflix, PayPal, Shopify, Tesla, Yelp, dan Uber.
Dalam melancarkan aksinya, Birsan mengunggah malware ke lokasi penyimpanan milik layanan open source seperti Python Package Index (PyPI), npm, dan RubyGems.
Malware tersebut kemudian didistribusikan untuk menembus server internal perusahaan. Teknik peretasan yang dilakukan Birsan terbilang canggih.
Pasalnya, malware yang dikirimkan Birsan dapat secara otomatis menyusup ke sistem keamanan perusahaan, tanpa membutuhkan campur tangan langsung korban.
Baca juga: Hacker Korea Utara Retas Uang Kripto untuk Danai Program Senjata Nuklir
Birsan memanfaatkan cacat desain unik yang dimiliki oleh layanan open source tersebut. Ia menyebut celah tersebut dengan istilah dependency confusion.
Meski sukses menyusup ke sistem keamanan perusahaan, namun Birsan mengaku tidak memiliki niat jahat. Birsan justru melaporkan celah keamanan tersebut kepada seluruh perusahaan yang telah berhasil dibobolnya.
Berkat tindakan mulia tersebut, Birsan berhasil mengumpulkan hadiah "bug bounty" sebesar 130.000 dollar AS (sekitar Rp 1,8 miliar), sebagaimana dirangkum KompasTekno dari Bleeping Computer, Senin (15/2/2021).
Sejak tahun lalu
Upaya peretasan tersebut rupanya telah direncanakan Birsan sejak 2020 lalu. Kala itu, Birsan menyadari bahwa terdapat beberapa file manifest yang tidak tersedia secara publik pada npm package PayPal.
Pihak PayPal justru membuat npm package tersebut untuk kemudian digunakan dan disimpan secara pribadi oleh perusahaan.
Baca juga: Uang yang Diberikan Google untuk Penemu Bug Pecahkan Rekor
Mengetahui hal tersebut, Birsan bertanya-tanya, apakah ia dapat menggunakan package palsu yang dinamai ulang. Package tersebut rencananya bakal di-hosting secara publik untuk menginfeksi server.
Untuk menguji hipotesis ini, Birsan kemudian mencari file internal package perusahaan di file manifes repositori GitHub atau di CDN.
Selanjutnya, Birsan membuat package versi rakitannya sendiri, namun dengan nama yang serupa dengan file internal package. Package tersebut kemudian ia bagikan melalui layanan npm, PyPI, dan RubyGems.
Birsan turut menyatakan bahwa package tersebut tidak mengandung file yang dapat membahayakan sistem keamanan perusahaan.
"Package ini dimaksudkan untuk tujuan penelitian keamanan, dan tidak berisi kode berbahaya," sebut Birsan.
Terkini Lainnya
- Instagram Hapus Fitur "Ikuti Hashtag", Ini Alasannya
- 5 Tips Menatap Layar HP yang Aman buat Mata, Penting Diperhatikan
- Aplikasi ChatGPT Kini Hadir untuk Semua Pengguna Windows, Tak Perlu Bayar
- Apa Itu Spam di WhatsApp? Ini Penjelasan dan Ciri-cirinya
- Casio Umumkan Ring Watch, Jam Tangan Cincin Harga Rp 2 Juta
- Cara Menghapus Akun Facebook yang Sudah Tidak Dipakai, Mudah dan Praktis
- HP "Underwater" Realme GT 7 Pro Rilis Global, Ini Spesifikasinya
- Yahoo Mail Kebagian Fitur AI, Bisa Rangkum dan Balas E-mail Langsung
- Perbedaan Chromebook dan Laptop Windows yang Perlu Diketahui
- Oppo Reno 13 Series Meluncur Sebentar Lagi, Ini Tanggal Rilisnya
- Janji Terbaru Apple di Indonesia, Rp 1,5 Triliun untuk Cabut Blokir iPhone 16
- China Pamer Roket yang Bisa Dipakai Ulang, Saingi Roket Elon Musk
- 10 Cara Mengubah Tulisan di WhatsApp Menjadi Unik, Mudah dan Praktis
- Ini Dia, Jadwal Rilis Global dan Daftar HP Xiaomi yang Kebagian HyperOS 2
- 2 Tim Indonesia Lolos Grand Final "Free Fire" FFWS Global 2024 di Brasil
- Janji Terbaru Apple di Indonesia, Rp 1,5 Triliun untuk Cabut Blokir iPhone 16
- Steam Gelar Lunar New Year Sale, Diskon Game hingga 84 Persen
- Bocoran Gambar Xiaomi Mi 11 Ultra, Punya Layar Kedua di Modul Kamera
- Ponsel BlackBerry 5G dengan Keyboard Fisik Akan Dirilis Tahun Ini
- Warga Australia Terancam Hidup Tanpa Google Search
- Target Terlampaui, Disney Plus Siap-siap Naikkan Harga Langganan