Berhasil Bobol 35 Perusahaan Teknologi Besar, Peneliti Ini Malah Dapat Hadiah Rp 1,8 Miliar
Fachri Septian
MONITORDAY.COM - Peneliti keamanan, Alex Birsan berhasil meretas lebih dari 35 perusahaan teknologi besar, termasuk Apple, Microsoft, Netflix, PayPal, Shopify, Tesla, Yelp, dan Uber.
Dalam aksinya, Birsan mengunggah malware ke lokasi penyimpanan milik layanan open source seperti Python Package Index (PyPI), npm, dan RubyGems.
Kemudian Malware tersebut didistribusikan untuk menembus server internal perusahaan. Aksi Birsan tersebut merupakan teknik peretasan yang terbilang canggih.
Dengan malware yang dikirimkan Birsan dapat secara otomatis menyusup ke sistem keamanan perusahaan, tanpa membutuhkan campur tangan langsung korban.
Terkait aksinya, Birsan memanfaatkan cacat desain unik yang dimiliki oleh layanan open source tersebut. Ia menyebut celah tersebut dengan istilah dependency confusion.
Walaupun sukses menyusup ke sistem keamanan perusahaan, Birsan mengaku tidak memiliki niat jahat. Ia justru melaporkan celah keamanan tersebut kepada seluruh perusahaan yang telah berhasil dibobolnya.
Berkat aksinya itu, Birsan berhasil mengumpulkan hadiah "bug bounty" sebesar 130.000 dollar AS (sekitar Rp 1,8 miliar), dikutip redaksi dari Bleeping Computer di Jakarta pada Senin (15/2/2021).
Upaya peretasan tersebut rupanya telah direncanakan Birsan sejak 2020 lalu. Saat itu, Birsan menyadari bahwa terdapat beberapa file manifest yang tidak tersedia secara publik pada npm package PayPal.
Lalu, pihak PayPal justru membuat npm package tersebut untuk kemudian digunakan dan disimpan secara pribadi oleh perusahaan.
Terkait hal tersebut, Birsan bertanya-tanya, apakah ia dapat menggunakan package palsu yang dinamai ulang. Package tersebut rencananya bakal di-hosting secara publik untuk menginfeksi server.
Untuk menguji hipotesis ini, Birsan kemudian mencari file internal package perusahaan di file manifes repositori GitHub atau di CDN.
Selanjutnya, Birsan membuat package versi rakitannya sendiri, namun dengan nama yang serupa dengan file internal package. Package tersebut kemudian ia bagikan melalui layanan npm, PyPI, dan RubyGems.
Selain itu, Birsan juga menyatakan bahwa package tersebut tidak mengandung file yang dapat membahayakan sistem keamanan perusahaan.
"Package ini dimaksudkan untuk tujuan penelitian keamanan, dan tidak berisi kode berbahaya," jelas Birsan.
