Duo Hacker Kuasai Hari Pertama Kontes Hacker Pwn2Own Tokyo

Tokyo, Cyberthreat.id - Perangkat pintar Amazon Echo, ponsel Xiaomi Mi9, Samsung Galaxy S10, router Netgear dan TP-Link, serta televisi Samsung dan Sony, berhasil diretas pada hari pertama Pwn2Own 2019, kontes white hat hacker di Tokyo. Perangkat pintar rumahan Facebook Portal dan Google Nest tampaknya tidak tersentuh hacker di hari pertama. Sejauh ini, tidak ada hacker yang mendaftar untuk meretas perangkat tersebut.

Di hari pertama, duo hacker Richard Zhu dan Amat Cama berhasil mengumpulkan poin terbanyak dan mendapat hadiah total $145.000 (Rp 2 miliar lebih). Kedua hacker yang membawa bendera Fluoroacetate ini berhasil meretas ponsel Samsung Galaxy S10, Xiaomi Mi9, televisi Sony X800G, Samsung Q60, perangkat pintar rumahan Amazon Echo. 

Kontes masih menyisakan satu hari namun diperkirakan tim Fluoroacetate akan kembali menjadi juara. Richard Zhu dan Amat Cama yang disebut sebagai hacker terbaik kelas dunia ini sebelumnya telah menjuarai Pwn2Own Tokyo, November 2018 dan Pwn2Own Vancouver, Maret 2019. Pada Pwn2Own Vancouver, kedua hacker ini berhasil meretas mobil pintar Tesla model 3 sehingga berhak mendapat hadiah US$35 ribu dan memboyong mobil canggih tersebut. Total hadiah uang yang mereka dapatkan sebagai juara Pwn2Own Vancouver mencapai US$375 ribu (Rp 5,2 miliar).

Amat Cama dan Richard Zhu berhasil meretas Galaxy S10 untuk konek dengan base station palsu | image: twitter.com/thezdi

Pada Pwn2Own Tokoy 2019 yang digelar pada 6-7 November bersamaan dengan konferensi ahli keamanan siber se-Asia Pasifik, PacSec, di Tokyo, Jepang, tersedia hadiah uang US$750 ribu (Rp 10,5 miliar). Hacker bisa memilih target dari 17 perangkat yang berbeda dari 8 kategori. Pwn2Own yang diselenggarakan Zero Day Initiative (ZDI) TrendMicro ini bertujuan mencari celah keamanan perangkat untuk memperkuat keamanan dan sistem operasinya. Produsen bisa memperbaiki celah keamanan yang ditemukan peserta sebelum dieksploitasi pihak ketiga (eksploitasi zero-day). 

Pada Pwn2Own Tokyo ini, ponsel yang menjadi target peretasan adalah: Xiaomi Mi 9, Samsung Galaxy S10, Huawei P30, Google Pixel 3 XL, Apple iPhone XS Max, Oppo F11 Pro (hanya kategori baseband). Untuk aksesoris: Apple Watch Series 4 dan Oculus Quest; Kategori Home Automation:  Facebook Portal, Amazon Echo Show 5, Google Nest Hub Max, Amazon Cloud Cam Security Camera, Nest Cam IQ Indoor; Kategori televisi: Sony X800G Series, Samsung Q60 Series; Kategori Routers: TP-Link AC1750 Smart WiFi Router, NETGEAR Nighthawk Smart WiFi Router (R6700).

Peserta ditantang untuk meretas web browser ponsel; komunikasi jarak dekat melalui Wi-Fi, Bluetooth, atau near field communication (NFC); menangkap pesan MMS atau SMS; dan mencegat komunikasi ponsel dengan base station (stasiun penerima sinyal jarak pendek) palsu. Hadiah terbesar ada pada kategori peretasan baseband. Google Pixel 3 XL menyediakan hadiah US$150.000 untuk hacker yang berhasil meretas komunikasi dengan base station palsu.

Untuk perangkat non-ponsel, peserta ditantang untuk membobol perangkat dan mengambil informasi penting. Hadiahnya berkisar antara US$5.000 - $60.000. Selain hadiah uang, peserta akan mendapat poin "Master of Pwn". Akumulasi poin akan menentukan juara yang berhak memakai jaket "Master of Pwn". Juara Pwn2Own akan berstatus Platinum di ZDI dan mendapat bonus US$25.000 dan komisi 25% dari setiap pembelian celah keamanan yang ditemukannya. 

Pwn2Own dimulai sejak 2007. Saat pertama digelar, para hacker ditantang meretas dua laptop MacBook Pro. Tidak ada hadiah tapi hacker akan mendapat hadiah MacBook yang berhasil diretasnya. ZDI kemudian berpartisipasi dengan membeli setiap celah keamanan yang ditemukan dalam kontes tersebut seharga US$10.000. Kontes berjalan setiap tahun dan mendapat banyak sponsor besar, terutama Microsoft dan Google. 

Sejak 2018, ada dua kontes Pwn2Own setiap tahun. Yang pertama Pwn2Own di Vancouver, Amerika Utara, berfokus pada peretasan browser, sistem operasi, teknologi server dan mesin virtual. Kedua adalah Pwn2Own Tokyo yang fokus kepada teknologi mobile. Kontes ini termasuk yang paling banyak diikuti para hacker karena peraturannya yang sederhana.