Herdian Nugraha ~ Hacker yang Direkrut Bukalapak Karena Keberhasilannya Menemukan Celah Keamanan Bukalapak dan Tokopedia

Image dari Liputan6.com

Kemampuan seorang hacker memang seringkali membuat banyak kalangan berdecak kagum. Apalagi jika situs yang dibongkar merupakan situs ternama dan dikenal memiliki tingkat keamanan yang canggih. Beberapa peristiwa pembobolan atau peretasan situs memang sudah banyak terjadi di dunia ini.

Meski kebanyakan kemudian tindakan peretasan ini menuai banyak kecaman karena merusak sistem keamanan, namun pada beberapa kasus, tindak pembobolan situs ini menarik sebuah perusahaan untuk merekrut sang hacker. Keahlian hacker ini memang kemudian diperlukan perusahaan untuk bisa membuat keamanan situsnya semakin kuat.

Kejadian perekrutan seorang hacker ini sendiri memang beberapa kali terjadi di luar negeri. Dan baru-baru ini peristiwa ini juga terjadi di Indonesia saat seorang hacker bernama Herdian Nugraha direkrut oleh Bukalapak sejak 12 Juni 2016 setelah ia berhasil membobol situsnya. Lalu seperti apakah kisah dan cerita Herdian Nugraha dalam peristiwa peretasan ini? Berikut ulasannya.

Direkrut dan Diberi Hadiah Uang Tunai

Kesuksesan Herdian Nugraha membobol beberapa situs #ecommerce besar Indonesia ini sendiri tidak hanya membuat dirinya direkrut oleh Bukalapak sebagai seorang security engineer, tapi pria lulusan jurusan Ilmu Komputer dari Kampus Institut Pertanian Bogor (IPB) tahun 2016 ini juga mendapatkan sejumlah uang hingga puluhan juta rupiah. Terkait hadiah sendiri, Herdian menyebutkan dalam blognya dari Bukalapak dengan angka mencapai mencapai nilai Rp 15 juta dan uang senilai Rp 10 juta dari Tokopedia.

Berkaitan dengan perekrutan dirinya oleh Bukalapak, menurutnya merupakan impian lama yang kini telah tercapai. Herdian sendiri memang sudah tertarik dengan Bukalapak sejak lama, bahkan dirinya mengaku pernah melamar pekerjaan di sana. Namun ternyata impian Herdian ini tercapai berkat keisengannya meretas dan melaporkan celah yang ditemukannya.

Dari Keisengan Berbuah Manis

Peretasan yang dilakukan Herdian pada situs ecommerce Tokopedia, Bukalapak, dan situs pesan desain online, Sribu.com ini sendiri adalah sebuah keisengan. Jadi saat itu Herdian sedang mencari-cari barang di Bukalapak. Saat proses pencarian itu, herdian melihat dan coba mengutak-atik fitur upload foto profil yang ternyata memiliki celah.

Meski telah menemukan celah, namun Herdian tidak menggunakannya untuk tindakan kriminal. Tapi setelah menemukan celah keamanan ini Herdian mendokumentasikan berbagai hal terkait kelemahan itu di blognya dan memberitahukan atau menginformasikannya ke pihak terkait.

Metode Peretasan Herdian

Dalam situs blog pribadinya yang beralamatdi  blog.hrdn.us ini Herdian membeberkan metode pembobolannya yang memanfaatkan kelamahan situs pemrosesan gambar ImageMagick yang kemudian celah keamanannya disebut dengan “ImageTragick”. Celah keamanan pemrosesan gambar ImageTragick ini sendiri sebelumnya pernah di teliti oleh peneliti keamanan Nikolay Ermishkin pada Mei 2016 lalu. Untuk membobol server ImageMagick ini Herdian membuat file MVG (ImageMagick Vector Graphic) yang telah dimodifikasi dan disimpan dalam format JPG/PNG/GIF.

Setelah itu Herdian pun menggunggahnya di situs Tokopedia, Bukalapak, dan Sribu. Ketika file gambar yang dimodifikasi itu diunggah, maka Herdian pun lantas mendapatkan hak penuh akses server di ketiga situs. Dan sari hak akses penuh ini Herdian pun juga mampu memperoleh beberapa data penting, seperti alamat #e-mail dan password pengguna.

Respon Cepat E-commerce

Setelah Herdian menemukan celah keamanan beberapa ecommerce ini, ia langsung memberitahukannya pada Tokopedia, Bukalapak dan Sribu.com. Dari sini ketiga situs ini langsung meresponnya secara cepat dengan menutup celah keamanan yang dilaporkan Herdian tersebut. Beberapa teknik dan metode yang dijelaskan Herdian ini pun kini sudah tak bisa lagi digunakan.

Herdian menyatakan apa yang dilakukannya memang bukan untuk merusak namun ia hanya iseng dan juga ingin membuat kesadaran untuk pengelola situs ecommerce. Kelegaan hati sendiri kemudian dirasakan Herdian saat ecommerce tersebut peduli dengan langsung merespon dengan cepat.

Peretasan Serupa Pada Situs Lain

Sebelum melakukan peretasan dengan mencari celah di Bukalapak, Tokopedia dan Sribu.com, Herdian sendiri tercatat juga pernah melakukan peretasan di situs lain. Hal-hal berkaitan dengan ilmu coding dan celah keamanan komputer ini memang menjadi sebuah kegemaran Herdian. Kegemaran bermain coding ini sendiri sudah dimulai Herdian sejak kuliah dengan menjadi tutor komunitas Cyber Security IPB.