Hacker Bobol 35 Perusahaan Teknologi Besar, Dapat Hadiah Rp 1,8 Miliar
- Seorang peneliti keamanan bernama Alex Birsan baru-baru ini berhasil meretas lebih dari 35 perusahaan raksasa teknologi, termasuk Apple, Microsoft, Netflix, PayPal, Shopify, Tesla, Yelp, dan Uber.
Dalam melancarkan aksinya, Birsan mengunggah malware ke lokasi penyimpanan milik layanan open source seperti Python Package Index (PyPI), npm, dan RubyGems.
Malware tersebut kemudian didistribusikan untuk menembus server internal perusahaan. Teknik peretasan yang dilakukan Birsan terbilang canggih.
Pasalnya, malware yang dikirimkan Birsan dapat secara otomatis menyusup ke sistem keamanan perusahaan, tanpa membutuhkan campur tangan langsung korban.
Baca juga: Hacker Korea Utara Retas Uang Kripto untuk Danai Program Senjata Nuklir
Birsan memanfaatkan cacat desain unik yang dimiliki oleh layanan open source tersebut. Ia menyebut celah tersebut dengan istilah dependency confusion.
Meski sukses menyusup ke sistem keamanan perusahaan, namun Birsan mengaku tidak memiliki niat jahat. Birsan justru melaporkan celah keamanan tersebut kepada seluruh perusahaan yang telah berhasil dibobolnya.
Berkat tindakan mulia tersebut, Birsan berhasil mengumpulkan hadiah "bug bounty" sebesar 130.000 dollar AS (sekitar Rp 1,8 miliar), sebagaimana dirangkum KompasTekno dari Bleeping Computer, Senin (15/2/2021).
Sejak tahun lalu
Upaya peretasan tersebut rupanya telah direncanakan Birsan sejak 2020 lalu. Kala itu, Birsan menyadari bahwa terdapat beberapa file manifest yang tidak tersedia secara publik pada npm package PayPal.
Pihak PayPal justru membuat npm package tersebut untuk kemudian digunakan dan disimpan secara pribadi oleh perusahaan.
Baca juga: Uang yang Diberikan Google untuk Penemu Bug Pecahkan Rekor
Mengetahui hal tersebut, Birsan bertanya-tanya, apakah ia dapat menggunakan package palsu yang dinamai ulang. Package tersebut rencananya bakal di-hosting secara publik untuk menginfeksi server.
Untuk menguji hipotesis ini, Birsan kemudian mencari file internal package perusahaan di file manifes repositori GitHub atau di CDN.
Selanjutnya, Birsan membuat package versi rakitannya sendiri, namun dengan nama yang serupa dengan file internal package. Package tersebut kemudian ia bagikan melalui layanan npm, PyPI, dan RubyGems.
Birsan turut menyatakan bahwa package tersebut tidak mengandung file yang dapat membahayakan sistem keamanan perusahaan.
"Package ini dimaksudkan untuk tujuan penelitian keamanan, dan tidak berisi kode berbahaya," sebut Birsan.
Terkini Lainnya
- Cara Melihat Garis Lintang dan Bujur di Google Maps dengan Mudah dan Praktis
- Apa Itu Grok AI dan Bagaimana Cara Menggunakannya?
- 7 Cara Menghapus Cache di HP untuk Berbagai Model, Mudah dan Praktis
- Samsung Rilis Vacuum Cleaner yang Bisa Tampilkan Notifikasi Telepon dan Chat
- Akun Non-aktif X/Twitter Akan Dijual mulai Rp 160 Juta
- 3 Cara Menggunakan Chatbot Grok AI di X dan Aplikasi HP dengan Mudah
- Poco M7 Pro 5G Resmi di Indonesia, Harga Rp 2,8 Juta
- Siap-siap, Harga iPhone Bakal Semakin Mahal gara-gara Tarif Trump
- Grok Jadi Aplikasi Terpisah, Bisa Diunduh di HP dan Desktop
- Meta Rilis 2 Model AI Llama 4 Baru: Maverick dan Scout
- Kisah Kejatuhan HP BlackBerry: Dibunuh oleh Layar Sentuh
- AI Google Tertipu oleh April Mop, Tak Bisa Bedakan Artikel Serius dan Guyonan
- Smartwatch Garmin Vivoactive 6 Meluncur, Pertama dengan Fitur Alarm Pintar
- Vimeo Rilis Fitur Streaming ala Netflix, Kreator Indonesia Gigit Jari
- YouTube Shorts Tambah Fitur Editing Video untuk Saingi TikTok
- Steam Gelar Lunar New Year Sale, Diskon Game hingga 84 Persen
- Bocoran Gambar Xiaomi Mi 11 Ultra, Punya Layar Kedua di Modul Kamera
- Ponsel BlackBerry 5G dengan Keyboard Fisik Akan Dirilis Tahun Ini
- Warga Australia Terancam Hidup Tanpa Google Search
- Target Terlampaui, Disney Plus Siap-siap Naikkan Harga Langganan