Semua perangkat lunak memiliki bug, atau kekurangan yang menyebabkan masalah. Mulai dari masalah dangkal yang tidak memengaruhi kinerja perangkat lunak dengan cara apa pun, hingga kerentanan keamanan yang serius.
Bug bisa sulit dikenali, itulah sebabnya banyak perusahaan teknologi memiliki program bug bounty. Tapi apa sebenarnya program bug bounty itu? Bagaimana cara kerjanya, dan bagaimana cara membantu meningkatkan keamanan produk?
Bagaimana Program Bounty Bug Bekerja
Perusahaan meluncurkan program hadiah bug untuk memberi insentif hacker topi putih untuk mencari lubang keamanan dan kerentanan serupa dalam perangkat lunak. Biasanya ada hadiah uang yang lebih dari layak bagi mereka yang menemukan bug, tidak peduli seberapa kecil kelihatannya bagi kebanyakan orang.
Dan bukan hanya perusahaan kecil yang sedang naik daun yang memiliki program bug bounty. Faktanya, sebagian besar raksasa teknologi menjalankannya, termasuk Google, Microsoft, Facebook, dan Apple. Detail tentang program ini biasanya dapat ditemukan di situs web resmi perusahaan. Lebih sering daripada tidak, ada beberapa tingkatan atau kategori. Namun pada prinsipnya, semakin signifikan sebuah bug, semakin tinggi hadiahnya.
Setelah peretas topi putih menemukan bug, mereka mengirimkan laporan pengungkapan terperinci yang menjelaskan apa yang mereka temukan. Insinyur perusahaan kemudian meninjau dan menyelidiki pengajuan tersebut, dan jika temuan peneliti terbukti akurat dan bermanfaat, mereka akan diberi tahu dan menerima hadiah uang.
Sistem ini berfungsi untuk perusahaan dan peneliti independen. Dari sudut pandang perusahaan mana pun, lebih baik peretas etis menemukan bug daripada aktor ancaman, yang kemungkinan besar akan melakukannya mengeksploitasinya sebelum ditambal, berpotensi menyebabkan jutaan kerusakan. Peretas, di sisi lain, membuat perubahan yang bagus dengan berpartisipasi dalam program hadiah bug — beberapa bahkan mendapatkan penghasilan penuh waktu dengan menemukan kerentanan perangkat lunak.
Contoh Program Bug Bounty Meningkatkan Keamanan Perangkat Lunak
Ada baiknya untuk mengetahui bagaimana program hadiah bug bekerja secara teori, tetapi mari kita lihat beberapa contoh nyata dari perusahaan yang membayar sejumlah besar uang kepada peretas topi putih.
Bekerja sama dengan platform bounty bug Immunefi, platform jembatan blockchain terdesentralisasi Wormhole meluncurkan program bounty pada Februari 2022 yang menawarkan $10 juta kepada siapa saja yang menemukan bug keamanan kritis. Tak lama kemudian, seorang peretas topi putih menggunakan nama samaran satya0x menemukannya. Seperti yang dijelaskan Immunefi dalam a Sedang posting, bug tersebut dapat menyebabkan dana pengguna dikunci, jadi satya0x menerima $10 juta untuk mengungkapkannya.
Juga pada Februari 2022, pertukaran cryptocurrency Coinbase membayar hadiah hadiah bug sebesar $250.000 kepada peneliti independen karena menemukan kelemahan utama dalam antarmuka perdagangan platform.
Laboratorium Auroraperusahaan di belakang Mesin Virtual Aurora Ethereum (ETH), membayar hadiah besar-besaran $6 juta pada April 2022. Uang itu diberikan kepada peretas etis yang dikenal sebagai pwning.eth, setelah ia menemukan kerentanan yang memungkinkan pelaku ancaman untuk mencetak pasokan cryptocurrency Ethereum yang tak terbatas di mesin Aurora.
Raksasa e-commerce Kanada Shopify, sementara itu, memecahkan rekornya sendiri pada tahun 2021, ketika pembayaran hadiahnya mencapai $1 juta. Tahun itu, perusahaan menerima total 3.000 laporan bug dari peretas topi putih di seluruh dunia. Sebagai tanggapan, Shopify menaikkan hadiah hadiah maksimumnya menjadi $100.000.
Angka-angka ini mungkin tampak sangat tinggi, tetapi sebenarnya tidak sebanding dengan jumlah uang dan data yang dapat dihasilkan oleh penjahat dunia maya dengan menemukan kerentanan. Wormhole hanya menetapkan hadiah hadiah bug $10 juta setelah kehilangan $320 juta karena pelanggaran. Aurora Labs menghadiahkan seorang peretas topi putih karena $6 juta artinya jika dibandingkan dengan kehilangan ETH senilai $240 juta, sementara Coinbase dan Shopify mungkin menghemat puluhan juta dengan memberikan kompensasi kepada peneliti yang rajin.
5 Program Bounty Bug Bayaran Tinggi Terbaik
Karena perusahaan benar-benar menghemat banyak uang dengan menyiapkan program hadiah bug yang bermanfaat, ada berbagai pilihan yang dapat dipilih oleh peneliti. Jika Anda seorang peretas topi putih atau ingin menjadi peretas topi putih, berikut adalah lima program bounty bug bergaji tinggi untuk dipertimbangkan.
1. Hadiah Keamanan Apple
Bounty Keamanan Apple adalah salah satu program bounty bug paling populer di dunia. Hadiah berkisar dari $5.000 untuk menemukan kerentanan layar kunci, hingga $2 juta untuk lubang keamanan yang akan memungkinkan aktor ancaman untuk menerobos Perlindungan Mode Lockdown. Yang harus Anda lakukan untuk mengirimkan laporan bug (yang harus menyeluruh dan mendetail) adalah masuk dengan ID Apple Anda.
2. Program Bounty Bug Microsoft
Program hadiah bug populer lainnya dijalankan oleh Microsoft, yang menawarkan berbagai macam hadiah. Sama seperti Apple, program Microsoft dibagi menjadi puluhan kategori berbeda. Misalnya, jika Anda menemukan kerentanan dalam kerangka kerja Microsoft.NET, Anda dapat mengharapkan pembayaran hingga $15.000. Tetapi jika Anda menemukan satu di Microsoft Hyper-VAnda mungkin mendapatkan hadiah hingga $250.000.
3. Program Hadiah Samsung
Program Samsung Rewards berpusat pada produk seluler perusahaan. Ini memiliki kebijakan yang relatif ketat, jadi pastikan Anda membacanya dengan cermat sebelum mengirimkan bug. Perhatikan juga bahwa hanya bug yang berdampak pada keamanan perangkat Samsung yang dipertimbangkan oleh teknisi perusahaan. Hadiah berkisar antara $200 dan $200.000.
4. Pemburu Bug Google
Dalam program hadiah Google Bug Hunters, hadiah mencapai $30.000. Pemburu bug, sebagaimana sering disebut peretas topi putih, dapat melaporkan bug di Gmail, YouTube, BlogSpot, dan layanan Google lainnya. Program ini memiliki komunitas yang sangat aktif dan universitas daringnya sendiri, yang dapat menjadi sumber yang bagus bagi peneliti pemula.
5. Hadiah Bug Meta
Program hadiah Meta mencakup Facebook, Instagram, WhatsApp, Messenger, dan banyak produk lainnya. Agar dipertimbangkan untuk mendapatkan hadiah (minimal $500), Anda perlu menemukan kerentanan yang menimbulkan risiko keamanan atau privasi dan memenuhi persyaratan yang ditentukan dengan jelas. Semua laporan yang valid menerima tanggapan. Jika beberapa pemburu menemukan masalah yang sama, hadiah diberikan kepada orang pertama yang mengirimkan laporan.
Program Bounty Bug: Keamanan Crowdsourced Terbaik
Program hadiah bug mewakili yang terbaik dari keamanan crowdsourced. Dan bukan hanya perusahaan teknologi dan peneliti keamanan siber yang mendapat manfaat dari mereka—semua orang, termasuk konsumen.
Bagi sebagian orang, berburu serangga adalah hobi, dan bagi yang lain, ini adalah karier yang matang. Jika Anda termasuk dalam kategori terakhir, atau bercita-cita, ada banyak kursus online yang layak untuk dilihat.
