Tiga Kali Temukan Bug, Hacker Jakarta Ini Diganjar US$ 1.500 dari Facebook
Danang Tri Atmaja. | Foto: Arsip pribadi
Jakarta, Cyberthreat.id – Menjadi seorang bug hunter—pada dasarnya juga peretas topi putih (white hat hacker)—tidak harus selalu mencari celah keamanan (bug) yang susah, terkadang bug sepele pun bisa mendatangkan rezeki.
Begitulah yang dialami Danang Tri Atmaja (24). Ia baru-baru ini menerima uang sebesar US$ 500 atau sekitar Rp 7 juta dari Facebook Inc.
“Alhamdulillah, Allah Has Willed It. I was get Rewarded Bounty from Facebook US$ 500,” tulis Danang dalam unggahannya akun LinkedIn-nya pada Kamis (4 Juni 2020).
Danang, lelaki asal Jakarta Timur, menemukan cacat aplikasi (bug) di Instagram, tepatnya pada fitur Direct Message dan Login Activity.
Fitur Login Activity ini memuat informasi login pengguna Instagram, seperti informasi lokasi dan jenis perangkat (device) yang sedang dan pernah login.
Danang lalu menjelaskan permasalahan yang ditemukannya. Awalnya ia mencoba masuk Instagram dengan akun sama melalui dua perangkat. Satu perangkat mengakses via situs web Instagram, satu lagi via aplikasi seluler.
Selanjutnya, ia mencoba logout akun untuk akses via situs web di Login Activity. Seharusnya ketika logout, akun sama di perangkat lain juga turut logout. Namun, perangkat satunya tersebut masih tetap menerima pesan via Direct Message.
“Saya masih bisa membaca pesan dari siapa pun yang menghubungi,” ujar dia kepada Cyberthreat.id, Sabtu (13 Juni 2020).
Seharusnya mekanisme kerja logout session tidak seperti itu. Karena ketika pengguna yakin dirinya telah logout session, artinya sudah menghentikan perangkat untuk mengakses platform.
Berita Terkait:
- Danang Tri Atmaja, Hacker yang Masuk Hall of Fame Microsoft, Google, dan Facebook
- Danang Tri Atmaja, Guru Hacker, dan Kisah Usil di Sekolahnya
Apa ancamannya?
Menurut Danang, jika akun Instagram seseorang dibajak atau diambil alih oleh peretas, si korban atau pemilik akun masih bisa mendapati si peretas login di perangkat lain.
Ketika korban mengetahui peretas masuk ke akun, lalu ingin mengakhirinya melalui Login Activity, meski peretas telah dikeluarkan atau diakhiri login session-nya, bila ada sebuah pesan masuk ke akun korban, perangkat si peretas juga mendapatkan notifikasi yang sama.
Danang melaporkan bug tersebut pada 26 April 2020, dan tiga hari setelahnya, Facebook meminta informasi tambahan kepada Danang terkait temuannya itu.
“Bug-nya simpel, enggak ada teknikal, cuma mengamati cara kerjanya saja: ‘Enggak sesuai nih, wah bug pasti, bisa merugikan gini’,” ujar Danang.
Pada 5 Mei, laporan Danang dikaji oleh Tim Facebook. Menurut dia, dalam analisis setiap pelaporan bug ada tahapan-tahapannya. Ketika status laporan itu berubah menjadi “Triaged”, artinya laporan itu sedang dalam pemantauan tim analis keamanan.
Danang bercerita laporan berstatus “Triaged” pada 13 Mei atau delapan hari setelah Tim Facebook melakukan kajian (reproduced). Untuk perbaikannya sendiri, kata Danang, bug tersebut telah ditambal (patched) pada 1 Juni 2020. Tiga hari kemudian, 4 Juni, barulah ia mendapatkan hadiahnya: US$ 500.
Hadiah yang diterima Danang memang tidak terlalu besar karena kategori bug yang ditemukan termasuk level rendah.
Ini bukan kali pertama Danang menerima hadiah dari Facebook. Sebelumnya, dia telah dua kali menerima hadiah dari platform milik Mark Zuckerberg tersebut.
Dua bug yang ditemukan sebelumnya terletak di Live Instagram dan Login Activity yang dilaporkan pada Agustus dan Oktober 2019. Dari bug tersebut, ia mendapatkan masing-masing US$ 500. Jika ditotal dengan hadiah terbaru, Danang telah mengumpulkan uang dari hasil bug bounty sebesar US$ 1.500 atau sekitar Rp 21,28 juta dari Facebook.
Redaktur: Andi Nugroho
