Program Bug Bounty Apple Dikritik Lantaran Hadiah Terlalu Sedikit

Hadiah yang diberikan dalam bug bounty Apple disebut-sebut terlalu sedikit sehingga para penemu bugs lebih senang menjualnya ke pihak lain.

oleh Agustin Setyo Wardani diperbarui 10 Jul 2017, 09:00 WIB
Diterbitkan 10 Jul 2017, 09:00 WIB
Hacker
Hacker (wired.com)

Liputan6.com, Jakarta - Program bug bounty yang digelar oleh perusahaan untuk menemukan celah keamanan dalam sistem mereka biasanya selalu jadi perhatian programmer maupun hacker.

Bagaimana tidak, jika berhasil menemukan celah, mereka yang berpartisipasi akan diganjar dengan hadiah dengan nilai menggiurkan. Namun, program bug bounty Apple justru memberikan tawaran hadiah yang tak terlalu tinggi.

Padahal, keamanan iPhone sulit ditembus sehingga wajar saja jika orang yang berhasil menemukan celah tersebut justru menjual informasi itu ke pasar gelap dengan harapan mendapatkan imbalan yang lebih besar.

Sebagaimana dikutip Tekno Liputan6.com dari Motherboard, Senin (10/7/2017), peneliti keamanan dari Zimperium Nikias Bassen yang bergabung dengan program bug bounty Apple mengatakan, "Orang bisa mendapatkan lebih banyak uang jika menjual bugs yang mereka temukan kepada pihak lain."

Ia juga menambahkan, "Jika kamu menemukan bugs hanya untuk uang, kamu tak akan melaporkannya pada Apple."

Hal ini pun diamini oleh delapan orang penemu bug Apple yang tak disebutkan namanya. Mereka mengaku belum melaporkan temuannya tentang celah keamanan yang ditemukannya pada sistem Apple.

Mantan karyawan Apple yang pernah bekerja di bidang keamanan pun membenarkan tentang jumlah hadiah Apple.

"Apple tidak suka mengirimkan hadiah, termasuk hadiah pada program bug bounty, setidaknya hingga celah itu benar-benar dilaporkan. Apple sangatlah perfeksionis," tutur mantan karyawan yang tak disebut namanya.

Sekadar diketahui, tak seperti bug bounty yang diadakan perusahaan lain dan terbuka untuk siapa pun, program bug bounty Apple terbatas hanya untuk orang-orang yang mendapat semacam undangan dari Apple.

Para peneliti keamanan yang menerima undangan bergabung dengan program bug bounty Apple memiliki kesempatan untuk mendapatkan hadiah bervariasi. Jumlahnya mulai dari US$ 25 ribu hingga US$ 200 ribu atau sekitar Rp 330 juta hingga Rp 2,6 miliar.

Jumlah uang itu mungkin memang terkesan sangat besar. Namun, perusahaan yang membeli bugs dari peneliti keamanan dan menjual kembali ke konsumen di pasar gelap seperti Zerodium ternyata menawarkan nilai yang lebih fantastis.

Misalnya saja sejumlah bugs yang mampu men-jailbreak iPhone dijual seharga US$ 1,5 juta atau sekitar Rp 20 miliar.

Perusahaan lainnya, Exodus Intelligence juga menawarkan nilai lebih besar, yakni US$ 500 ribu atau Rp 6,6 miliar untuk bugs serupa yang ada di iOS.

Bisa jadi juga, ada kelompok hacker yang diam-diam mengambil keuntungan dari bug bounty Apple, yakni dengan menawarkan jumlah imbalan yang lebih besar.

Kemungkinan, karena tawaran hadiah yang rendah itulah, membuat para peneliti keamanan memilih menyimpan bugs Apple yang mereka temukan, daripada menyerahkannya kepada Apple.

"Tak ada yang mau membunuh bugs yang berhasil ditemukan, kecuali dia benar-benar bodoh," tutur jailbreaker iPhone Luca Todesco.

"Kalau aku membunuh bugs yang kutemukan, aku tak akan bisa melakukan riset. Atau kalau mau kamu bisa pergi ke perusahaan independen yang bakal membeli bugs itu dengan harga tinggi," ujarnya.

(Tin/Isk)

Tonton Video Menarik Berikut Ini:

Video Pilihan Hari Ini

Video Terkini

POPULER

Berita Terkini Selengkapnya