Wow! <i>Hacker</i> Ini Sukses Bobol dan Temukan Celah Keamanan di Situs Apple, Microsoft hingga Netflix
Ilustrasi hacker sedang beraksi (New Yorker)

Bagikan:

JAKARTA - Situs Perusahaan teknologi raksasa rupanya belum kebal dari peretasan. Untuk membuktikan itu Alex Birsan mampu membobol puluhan situs web perusahaan teknologi kenamaan seperti Microsoft, Apple, Netflix, Tesla, PayPal, Uber dan sebagainya.

Birsan merupakan seorang peneliti keamanan. Untuk membobol berbagai perusahaan besar itu, Birsan mengunggah sejumlah malware ke dalam ruang penyimpanan Python Package Index, RubyGems, dan npm. Semua layanan itu bersifat open source.

Kemudian malware itu disebar untuk membobol server internal milik perusahaan. Mekanisme peretasan yang diterapkan oleh Birsan ini terhitung canggih. Malware yang didistribusikan oleh Birsan itu mampu mengelabui sistem keamanan secara otomatis, tanpa ada campur tangan dari pengirimnya.

Adanya cacat desain dalam layanan open source menjadi pintu masuk Birsan untuk melancarkan aksi hacking. Birsan menyebut celah tersebut sebagai dependency confusion. Dia mengakui bahwa tindakan tersebut tidak didasari oleh tujuan yang jahat.

Melansir Bleeping Computer, aksi yang dilakukan Birsan semata-mata untuk melaporkan adanya sistem keamanan yang bocor kepada perusahaan-perusahaan raksasa teknologi tersebut. Dengan niatan baik itu, Birsan mendapatkan hadiah senilai 130 ribu dolar AS (setara Rp 1,8 miliar).

Birsan mulai meretas berbagai perusahaan teknologi itu sejak 2020. Waktu itu, ia mengetahui ketidaktersediaan sejumlah file manifest yang terbuka untuk publik dalam npm package PayPal. Rupanya perusahaan tersebut menyimpannya untuk perusahaan sendiri.

Menyadari hal itu, Birsan memikirkan apakah dirinya bisa memakai package palsu yang sudah dinamai kembali. Ia berencana melakukan hosting secara publik agar bisa menginfeksi server. Lalu Birsan berupaya mencari sejumlah file internal package milik perusahaan di CDN maupun di GitHub.

Langkah selanjutnya, Birsan merancang package buatannya sendiri dengan menggunakan nama yang mirip dengan nama file internal package. Setelah itu Birsan membagikan package buatannya ke npm, RubyGems dan PayPal.

“Package ini dimaksudkan untuk tujuan penelitian keamanan, dan tidak berisi kode berbahaya,” kata birsan menjelaskan maksud peretasannya.