Jakarta, Warta9.com – Satu lagi alumni Universitas Teknokrat Indonesia salah PTS terbaik di Lampung berprestasi dalam Teknologi Informasi. Bahkan alumni prodi Informatika Universitas Teknokrat, Muhammad Thomas Fadhila menemukan Bug di Tokopedia dan Instagram.
Kepada Warta9.com, Kamis (9/7/2020), Thomas mengaku tak mudah meraih prestasi ini. Alumni Universitas Teknokrat Indonesia 2019 ini, sekarang bekerja di Payfazz (PT PAYFAZZ Teknologi Nusantara) sebagai Application Security Engineer, tugasnya kurang lebih sama seperti bug hunter.
Menurut Thomas, bug hunter merupakan pekerjaan mencari celah kerentanan keamanan pada aplikasi dan melaporkan hasil temuan ke perusahaan pembuat atau pemilik aplikasi sebelum dieksploitasi oleh orang jahat. “Saya menekuni bidang cybersecurity ini dari 2014. Saat itu, mengikuti perlombaan capture the flag di bidang keamanan jaringan, tetapi untuk fokus menjadi bug hunter mulai di tahun 2019,” ujar Thomas yang saat ini tinggal di Jakarta.
Menurut, dia tak ada sistem yang 100 persen aman. Begitulah prinsip yang berlaku di kalangan praktisi teknologi informasi. Kemungkinan adanya celah keamanan yang disebut bug bisa saja terjadi. Petaka pun mengintai jika celah itu ditemukan oleh orang berniat jahat. Bisa jadi datanya dicuri, atau bahkan dijadikan sandera untuk mendapatkan uang tebusan.
Menyadari celah itu, lanjut Thomas, sejumlah perusahaan teknologi besar kerap mengadakan kontes untuk menguji keamanan sistem mereka. Bug bounty, namanya. Biasanya, para peserta akan ditantang untuk menemukan celah keamanan di sistem atau platform mereka. Jika ditemukan, penemunya biasanya akan diganjar dengan hadiah yang setimpal, tergantung berat ringannya masalah yang ditemukan.
Thomas Fadhila melakoni pekerjaan Bug hunter. Pemburu celah keamanan. Thomas pernah menemukan celah keamanan antara lain di Instagram dan platform e-commerce Tokopedia.
Dalam kasus Instagram, pada November 2019, Thomas menemukan ada yang tak beres pada aplikasi milik Facebook itu. Bagaimana tidak, pengguna masih mendapat kiriman notifikasi jika ada pesan masuk meskipun telah logout dari aplikasi. Tak hanya itu, jika ada panggilan video call pun masih dikirim notifikasinya.
“Bahaya benar itu. Apalagi jika pada saat login ke Instagram menggunakan ponsel teman. Bayangkan, ketika anda sudah logout dan mengembalikan ponsel yang dipinjam, tiba-tiba masuk pesan DM pribadi ke Instagram dan si teman dapat membaca notifikasinya. Bisa berabe jadinya,” kata Thomas.
Temuan itu pun dilaporkan Thomas ke Instagram. Rupanya, saat itu memang ada cacat pada kode miskonfigurasi session Instagram. Pihak Instagram sendiri tak menyadari adanya cacat itu sebelum dilaporkan oleh Thomas.
Selang dua bulan setelah Thomas melaporkannya, pada 27 Januari 2020, Facebook selaku pemilik Instagram menyatakan laporan itu valid. Thomas pun mendapat hadiah sebesar US$ 750, setara Rp10,7 juta.
“Kebetulan Instagram itu sudah menjadi milik Facebook, dan Facebook mengadakan program bug bounty yang diberi nama Facebook White Hat. Jadi saya membuat report dan melaporkan celah keamanan tersebut di platform yang sudah disediakan Facebook,” kata Thomas.
Sebelumnya, pada Februari 2019, Thomas juga menemukan cacat pada pemberian likes/suka pada ulasan produk yang dijual di Tokopedia. Cacat itu bisa memungkinkan seseorang mengubah jumlah bintang yang diberikan pengguna atas layanan mitra Tokopedia.
Celah itu disebut IDOR (Insecure Direct Object Reference). Ini adalah kondisi dimana pengguna dapat mengakses suatu objek tanpa melewati pemeriksaan hak akses. Artinya, aktor jahat dapat menambah jumlah likes pada ulasan produk tanpa perlu interaksi dengan pengguna Tokopedia. Tokopedia menyatakan celah tersebut valid dan mengkategorikannya sebagai kerentanan “menengah atau medium”. Tokopedia kemudian memperbaiki kerentanan tersebut pada 1 April 2019.
Atas temuan itu, Tokopedia mengganjar Thomas dengan sertifikat dan hadiah senilai Rp 2 juta. Terkait hadiah ini, kata Thomas, nilainya tergantung pada dampak yang bisa ditimbulkan oleh kerentanan keamanan itu. Semakin besar dampaknya, maka semakin tinggi hadiah yang diberikan.
Thomas mengawali kiprahnya di dunia keamanan siber saat mengikuti perlombaan capture the flag atau CTF yang digelar Kementerian Pertahanan pada 2014. Dari situlah Thomas memulai kiprahnya di dunia keamanan siber.
Pada perlombaan CTF, peserta diharuskan menyelesaikan tantangan-tantangan yang disediakan oleh penyelenggara seputar celah keamanan pada aplikasi web, mobile maupun desktop.
Tantangannya adalah peserta lomba harus menemukan “flag” atau bendera yang disematkan pada aplikasi web, mobile atau desktop dengan memanfaatkan celah-celah keamanan untuk mendapatkan flag tersebut.
“Ini menjadi awal saya berkecimpung di dunia bug hunter,” kata Thomas.
Saat ini, Thomas juga berkiprah sebagai pentester (penetration tester) di Sumatera Cyber Security. Seperti profesi lain, menjadi bug hunter juga tak luput dari suka dan duka. Ia bisa menjadi sangat girang jika menemukan adanya bug baru yang berhubungan dengan business logic dari sebuah aplikasi. “Biasanya kan ada jenis bug yang common gitu, jadi kalau bisa dapat yang belum pernah saya temuin, senang aja jadinya,” ujar Thomas.
Sebaliknya, ia bisa jadi kesal bukan kepalang jika sudah susah payah berusaha menemukan sebuah bug, ternyata sudah dilaporkan oleh orang lain. Namun begitu, Thomas tak menyerah. Biasanya, ia akan segera melupakannya dan melanjutkan misi untuk menemukan celah keamanan pada platform lain. (W9-jam)
