Hacker China Ini Kaya Mendadak dari Sayembara Bug Google

Cyberthreat.id – Selama setahun terakhir, Google Inc telah mengeluarkan uang mencapai US$ 1,5 juta atau setara Rp 21 miliar untuk para peneliti atau peretas (hacker).

Raksasa teknologi mesin pencari itu memang sengaja mengundang para hacker untuk ikut dalam sayembara berburu bug (celah keamanan)—atau akrab dikenal dengan bug bounty.

Uang sebesar Rp 21 miliar itu telah dibagikan kepada sekitar 100 hacker. Jika dirata-rata, Google telah membayar sekitar US$ 15.000 (sekitar Rp 200 juta) per peneliti.

Dari ratusan hacker itu yang mendapatkan “durian runtuh” tertinggi adalah hacker asal China bernama Guang Gong (akun Twitter @oldfresher).

“Hadiah tertinggi yang dibayarkan pada tahun 2019 sebesar US$ 161.337 (sekitar Rp 2,2 miliar),” kata Jessica Lin selaku Android Security Team Google di blog perusahaan, Kamis (21 November 2019).

Guang Gong adalah peneliti di Alpha Lab, Qihoo 360 Technology Co. Ltd—sebuah raksasa keamanan siber asal China. Ia menemukan rantai eksploitasi eksekusi kode jarak jauh 1-klik pada kerentanan Android Pixel 3.

Selain menerima US$ 161.337 dari program Android Security, ia juga mendapat US$ 40.000 (sekitar Rp 560 juta) untuk program Chrome Rewards yang bernilai total US$ 201.337.

Hadiah gabungan itu menjadi hadiah tertinggi untuk rantai eksploitasi tunggal di semua program Google Vulnerability Reward Program (VRP). Kerentanan Chrome yang diungkit dalam laporan tersebut kemudian telah diperbaiki di Chrome 77.0.3865.75 dan dirilis pada September lalu.

Bukan kali itu saja ia menerima hadiah dari Google gara-gara “lubang serangga”.

Pada 2015, Guang Gong juga mendapatkan uang sebesar US$112.500 atas kerja kerasnya. Tahun itu, Google mencatat hadiah tersebut adalah terbesar yang diberikan perusahaan sejak mulai menggelar bug bounty.

Ia menemukan rantai exploit jarak jauh atau serangan jarak jauh untuk ponsel Android Pixel milik Google. Ia membobol perangkat Pixel generasi pertama (2 dan Pixel 2XL) dalam 60 detik yang dipraktikkan di konferensi Pwn2On 2016, sebuah kontes para hacker.

Bug itu jika dieksploitasi memungkinkan peretas mencuri data atau menanamkan malware di perangkat. Padahal, kala itu Google memastikan keamanan pada perangkat Pixel generasi pertama aman dari serangan.

Kemarin, Google Inc kembali mengumumkan sayembara pencarian celah keamanan untuk sistem Android. Hadiah yang disiapkan hingga US$ 1,5 juta.

Ada dua sayembara yang ditawarkan dari perusahaan raksasa mesin pencari tersebut. Pertama, perusahaan akan mengganjar hadiah sebesar US$ 1 juta (setara Rp 14 miliar) bagi yang bisa menemukan bug pada ponsel Android Pixel 3 dan Pixel 4.

“Hadiah sebesar US$ 1 juta untuk eksploitasi eksekusi kode jarak jauh untuk chip Titan M pada perangkat Pixel,” kata Lin.

Menurut Lin, beberapa waktu lalu Gartner (perusahaan riset teknologi informasi asal AS) pernah menyatakan, bahwa Pixel 3 sebagai perangkat yang paling kuat karena chip Titan M dari semua perangkat yang dievaluasi.

“Inilah sebabnya kami membuat hadiah khusus untuk menghargai para peneliti untuk mengeksploitasi yang ditemukan,” tulis Lin.

Lin mengatakan, selama empat tahun terakhir, Google telah mengeluarkan hadiah lebih dari 1.800 laporan dan membayar penemu lebih dari empat juta dolar.

“Mulai 21 November 2019, hadiah baru mulai berlaku. Setiap laporan yang diajukan sebelum 21 November 2019 akan dihargai berdasarkan tabel hadiah yang ada sebelumnya. Selamat berburu bug!” tulis Lin.

Apakah Guang Gong akan mendapatkan hattrick di sayembara kali ini?