Beberapa hacker white hat sekarang ini bisa berkonsentrasi di situs-situs yang memang menyediakan bounty dan bisa hidup dari itu. Sementara di sisi lain ada banyak hacker black hat yang menjebol berbagai situs (yang biasanya tidak menyediakan bounty, atau menyediakan bounty kecil) lalu menjual jutaan account yang berhasil diretas.
Ada juga mereka yang di tengah-tengah. Kadang-kadang iseng berusaha menjebol situs (yang tidak punya program bounty khusus) lalu jika ketemu bug melaporkan ke pemilik situsnya. Situs ini bisa ditemukan dari banyak cara, misalnya:
- hackernya memang memakai situs ini tiap hari
- hackernya iseng mencari dengan google dork atau Shodan
- aplikasinya sedang populer (karena masuk situs berita)
- sedang menguji sebuah situs yang ternyata berhubungan dengan situs lain
Pemilik Situs
Dari sudut pandang pemilik situs, mungkin akan berat memberikan bounty: kenapa kamu berusaha masuk ke situs saya? siapa yang suruh? saya jadi harus mengeluarkan uang yang harusnya nggak keluar. Dari sudut pandang lain: ini kebetulan yang menemukan bug masih mau lapor, tidak menjual account ke dark web, pemilik situs tidak kehilangan pelanggan.
Analoginya mungkin seperti ketinggalan dompet (salah Anda, kenapa tidak waspada, atau dalam kasus website: salah Anda kenapa tidak aman?). Jika ada yang menemukan dan semuanya kembali utuh, apakah Anda akan memberikan reward pada yang menemukan?
Sebagai catatan: tidak semua situs memberikan reward berupa uang bagi yang menemukan bug di situsnya/appnya. Penghargaan paling sederhana adalah: hall of fame, berupa daftar “orang-orang yang telah berkontribusi pada keamanan situs ini”. Alternatif hall of fame adalah sertifikat kertas. Berikutnya adalah swag: barang-barang kecil seperti stiker, kaos, dsb. Sebagian memberikan sesuatu yang bernilai seperti uang misalnya voucher belanja.
Penemu Bug
Di sisi lain: jika Anda adalah orang yang menemukan dompet, apakah akan memaksa minta reward? Mungkin sebagian merasa tidak perlu dan ikhlas 100%, sebagian lagi ikhlas tapi agak menggerutu: orang kayak (bank, payment gateway, dsb) kok pelit, sebagian merasa minimal perlu diberi ongkos pulang. Lalu ada juga yang sebagian benar-benar memaksa minta uang (kalau ini kategorinya sudah masuk black hat hacker).
Jika kita benar-benar taat hukum: Mencari bug di situs yang tidak menyediakan bounty sebenarnya melanggar hukum. Tapi di sisi lain: jika situsnya memiliki keamanan yang lemah dan tidak ada white hat hacker yang mencoba masuk karena takut hukum, maka pasti akan ada hacker black hat yang akan masuk (jika security lemah, maka hanya masalah waktu). Dan mereka pasti akan berusaha mencari keuntungan, dengan banyak cara:
- memeras
- menjual account yang bocor
- memakai hasil hack (misalnya account) untuk masuk lebih dalam ke sistem lain (karena biasanya passwordnya sama)
Mengenai Ilmu
Jika menemukan bug dan diberi bounty saya bersyukur, jika tidak pun tidak apa-apa. Saya hanya akan menjadikan sebagai tulisan, minimal ada gunanya: orang lain tahu supaya tidak membuat bug yang sama. Orang security juga jadi belajar bug apa saja yang ada.
Sudah banyak contoh tulisan di mana saya tidak dibayar sama sekali dan saya tuliskan ilmunya. Beberapa contohnya:
- Bug Gojek (kebocoran data pengguna dan pengemudi)
- Bug Zohib Messenger (banyak bug)
- Bug e-Money Mandiri (bisa isi ulang e-money unlimited)
- Bug version control di berbagai website (Kompas, Tempo, dsb)
Para pemilik situs tersebut tidak keberatan namanya saya sebutkan dan bugnya memang sudah diperbaiki.
Penutup
Lalu bagaimana dengan situs tertentu yang tidak mau dipublish, tapi juga tidak memberi bounty? Saya tidak bisa memaksa mereka memberi bounty atau memberi ijin menerbitkan namanya. Yang bisa saya lakukan:
- Membuat posting anonim (contohnya seperti ini)
- Lain kali jika ada hacker lain yang bertanya ke saya mengenai situs tersebut, saya akan menjawab jujur: websitenya nggak ngasih bounty, jadi terserah aja mau ngapain
Biasanya saya akan menjauhi situs-situs seperti itu di lain waktu. Contohnya: saya pernah belanja komponen elektronik, ternyata data CC bisa bocor. Saya beritahu ke pemilik situs, lalu dipatch dan tidak ada reward sama sekali. Sekarang saya tidak pernah lagi belanja di situ, dan jika ada yang bertanya, saya akan menyarankan untuk *tidak belanja di situ*.
Sama halnya dengan bank atau layanan lain. Jika memang pengalaman saya buruk, saya akan jujur mengatakan: IT-nya bank X nggak bagus. Jika ada yang lain yang menemukan bug yang lain, ya terserah mereka mau ngapain.