Nosa, Bug Hunter Pasuruan, dan Kenangan US$ 7.500

Cyberthreat.id – Ia biasa dipanggil Nosa. Pengalaman di dunia pemburuan cacat keamanan aplikasi alias bug telah dilakoni pemuda Pasuruan, Jawa Timur ini sejak 2016.

Itu masa-masa dirinya masih duduk di kelas dua SMA. Bagi pemilik nama lengkap Muhammad Nosa Sandi Prasetyo, memburu bug adalah “sesuatu yang menggiurkan” karena selain mendapat hadiah juga penghargaan dari pemilik sistem informasi.

Perkakas komputer telah menjadi bagian hidup Nosa. Ia mengenal komputer di usia sekolah dasar dan mulai mahir dengan perkakas lunak di kala SMP. Bahkan, di bangku SMA ia telah membuat virus sederhana, menurut laporan Vice Indonesia.

Dua tahun berkecimpung di dunia keamanan siber, tepatnya Agustus 2018, ia menemukan bug yang memungkinkan terjadinya serangan clikjacking di Google. Ini serangan berbasis web yang mengelabui pengguna internet untuk mengklik sebuah elemen di halaman web yang justru berbahaya.

Pengalaman Nosa ikut di acara Black Hat Asia 2019. | Foto: Arsip pribadi

Sederhananya, ketika Anda mengklik "A", tetapi malah diarahkan ke halaman web lain. Kemunculan halaman baru itu berisiko karena bisa berupa halaman phishing yang meminta informasi kredensial (email, password, akun media sosial) atau web yang mengandung malware.

Dalam temuan Nosa, bug itu berada di halaman Google My Business (business.google.com). Ketika seseorang menambahkan karakter ilegal dan meletakkan URL Encode di depan business.google.com, aktor jahat bisa melakukan serangan clickjacking.

Nosa segera melaporkan kepada Google karena termasuk kategori kerentanan kritis. Pada 28 Agustus 2018, Google memvalidasi kerentanan itu. Akhirnya 25 September, ia memperoleh hadiah.

Google mengiriminya uang sebesar US$ 7.500. Nilai yang lebih besar dari dugaannya.

“I cry,” tulis Nosa di blog pribadinya (apapedulimu.click) tentang hadiah itu. Jika nilainya ditukarkan dalam rupiah, ia mendapat sekitar Rp 112,5 juta. Kala itu kurs beli dolar hampir menyentuh Rp 15.000.

“Saya aja sampai sekarang enggak menyangka bisa dapat uang sebanyak itu,” ujar dia kepada Wartabromo.com kala itu.

Mencari bug di Google adalah mimpi Nosa sejak lama. Pencapaian itu menjadi mimpi yang menjadi kenyataan. Kiprah itulah membuat dirinya masuk jajaran pemburu bug (bug hunter) Google. Namanya tercantum di Bughunter Hall of Fame.

Di tingkat lokal, Nosa beberapa kali menemukan kerentanan di situs belanja daring, seperti Tokopedia dan Bukalapak.

Pada 7 Maret 2019, misalnya, ia menemukan cacat di aplikasi seluler Bukalapak pada fitur "Buka Pengiriman".

Kerentanan itu memungkinkan aktor jahat untuk memanipulasi harga pengiriman pada fitur "Buka Pengiriman". Kerentanan itu divalidasi oleh Bukalapak pada 12 Maret 2019.

Sebagai bentuk terima kasih dan penghargaan, Nosa diberikan Rp 2 juta oleh Bukalapak. "Dikasih uang Rp 2 juta mas. Itu belum dipotong pajak, hehehe," ujar mahasiswa Sekolah Tinggi Ilmu Manajemen, Informatika dan Manajemen (STIMIKI) Yadika, Bangil, Pasuruan itu..

Padahal, ia menambahkan, "Kalau dilihat dari segi impact, mungkin temuan saya yang ada di Bukalapak, bisa memanipulasi harga pengiriman," ujar Nosa.[]

Redaktur: Andi Nugroho