Hacker Bobol 35 Perusahaan Teknologi Besar, Dapat Hadiah Rp 1,8 Miliar
- Seorang peneliti keamanan bernama Alex Birsan baru-baru ini berhasil meretas lebih dari 35 perusahaan raksasa teknologi, termasuk Apple, Microsoft, Netflix, PayPal, Shopify, Tesla, Yelp, dan Uber.
Dalam melancarkan aksinya, Birsan mengunggah malware ke lokasi penyimpanan milik layanan open source seperti Python Package Index (PyPI), npm, dan RubyGems.
Malware tersebut kemudian didistribusikan untuk menembus server internal perusahaan. Teknik peretasan yang dilakukan Birsan terbilang canggih.
Pasalnya, malware yang dikirimkan Birsan dapat secara otomatis menyusup ke sistem keamanan perusahaan, tanpa membutuhkan campur tangan langsung korban.
Baca juga: Hacker Korea Utara Retas Uang Kripto untuk Danai Program Senjata Nuklir
Birsan memanfaatkan cacat desain unik yang dimiliki oleh layanan open source tersebut. Ia menyebut celah tersebut dengan istilah dependency confusion.
Meski sukses menyusup ke sistem keamanan perusahaan, namun Birsan mengaku tidak memiliki niat jahat. Birsan justru melaporkan celah keamanan tersebut kepada seluruh perusahaan yang telah berhasil dibobolnya.
Berkat tindakan mulia tersebut, Birsan berhasil mengumpulkan hadiah "bug bounty" sebesar 130.000 dollar AS (sekitar Rp 1,8 miliar), sebagaimana dirangkum KompasTekno dari Bleeping Computer, Senin (15/2/2021).
Sejak tahun lalu
Upaya peretasan tersebut rupanya telah direncanakan Birsan sejak 2020 lalu. Kala itu, Birsan menyadari bahwa terdapat beberapa file manifest yang tidak tersedia secara publik pada npm package PayPal.
Pihak PayPal justru membuat npm package tersebut untuk kemudian digunakan dan disimpan secara pribadi oleh perusahaan.
Baca juga: Uang yang Diberikan Google untuk Penemu Bug Pecahkan Rekor
Mengetahui hal tersebut, Birsan bertanya-tanya, apakah ia dapat menggunakan package palsu yang dinamai ulang. Package tersebut rencananya bakal di-hosting secara publik untuk menginfeksi server.
Untuk menguji hipotesis ini, Birsan kemudian mencari file internal package perusahaan di file manifes repositori GitHub atau di CDN.
Selanjutnya, Birsan membuat package versi rakitannya sendiri, namun dengan nama yang serupa dengan file internal package. Package tersebut kemudian ia bagikan melalui layanan npm, PyPI, dan RubyGems.
Birsan turut menyatakan bahwa package tersebut tidak mengandung file yang dapat membahayakan sistem keamanan perusahaan.
"Package ini dimaksudkan untuk tujuan penelitian keamanan, dan tidak berisi kode berbahaya," sebut Birsan.
Terkini Lainnya
- Jepang Siapkan Superkomputer Terkuat di Dunia
- Arti Istilah “Ang Ang Ang” yang Lagi Ramai di TikTok
- YouTuber iShowSpeed Live Streaming di Indonesia, Makan Gorengan dan Nasi Padang
- Cara Mengatasi Airdrop Menunggu Terus Menerus dan Tidak Bisa Menerima Data di iPhone
- Tampilan Control Center iPhone di iOS 18 Bisa Dimodifikasi, Begini Caranya
- Awas! iPad Jangan Update ke iPadOS 18 Dulu, Bisa "Freeze"
- 10 Fitur iOS 18 yang Menarik Dicoba, Bisa Ganti Ikon Aplikasi dan Control Center
- Chat Gamer di Discord Kini Tidak Bisa Diintip Hacker
- Cerita Kontingen E-sports Jabar, Sabet Emas PON Nomor Free Fire meski "Bentrok" Turnamen ASEAN
- Kapal Induk Italia "Cavour" Sandar di Jakarta, Bawa Jet Tempur F-35
- Tidak Ada Game PC di PON XXI 2024 Cabor E-sports, Kenapa?
- iPhone dan HP Android Akhirnya Akur, Bisa "SMS-an" Gratis
- Office LTSC 2024 Resmi, Tanpa Internet dan Tak Perlu Berlangganan
- Kompetisi Microsoft Excel Digelar di Indonesia untuk Pertama Kalinya, Final di Las Vegas
- Game "Final Fantasy XVI" Meluncur di PC, Ini Harganya di Indonesia
- Steam Gelar Lunar New Year Sale, Diskon Game hingga 84 Persen
- Bocoran Gambar Xiaomi Mi 11 Ultra, Punya Layar Kedua di Modul Kamera
- Ponsel BlackBerry 5G dengan Keyboard Fisik Akan Dirilis Tahun Ini
- Warga Australia Terancam Hidup Tanpa Google Search
- Target Terlampaui, Disney Plus Siap-siap Naikkan Harga Langganan