TikTok Beri Hadiah Rp 54 Juta untuk Hacker yang Bantu Temukan Bug

TikTok memberi imbalan sebesar USD 3.860 atau setara Rp 54,7 juta pada hacker pemburu bug bounty yang membantu menemukan bug di sistem TikTok.

oleh Agustin Setyo Wardani diperbarui 25 Nov 2020, 07:00 WIB
Diterbitkan 25 Nov 2020, 07:00 WIB
Ilustrasi TikTok, Aplikasi TikTok.
Ilustrasi TikTok, Aplikasi TikTok. Kredit: antonbe via Pixabay

Liputan6.com, Jakarta - TikTok memberi imbalan sebesar USD 3.860 atau setara Rp 54,7 juta pada hacker pemburu bug bounty yang membantu menemukan bug dan kerentanan di sistem TikTok. 

TikTok pertama kali menerima laporan mengenai kerentanan tersebut dari hacker pemburu bug bounty bernama Muhammed "milly" Taskiran pada 26 Agustus lalu.

Kemudian, pada 3 September, TikTok melakukan analisis pada masalah keamanan tersebut dan memberikan skor keparahan 8.2. Bug ini kemudian diperbaiki tanggal 18 September.

TikTok menambal celah keamanan XSS dan bug yang memungkinkan terjadinya pengambilalihan akun yang mempengaruhi domain web perusahaan.

Dikutip dari ZDNet, Selasa (24/11/2020), kerentanan yang dimaksud terkait dengan parameter URL di domain tiktok.com yang tak dibersihkan dengan benar.

Tipu Pengguna

TikTok
TikTok. Dok: money.com

Taskiran menemukan bahwa kerentanan ini dapat dieksploitasi untuk mencapai skrip lintas situs (XSS) yang berpotensi mengarah ke eksekusi kode berbahaya di sesi browser pengguna.

Taskiran juga menemukan sebuah endpoint yang rentan terhadap Cross-Site Request Forgery (CSRF).

CSRF merupakan sebuah serangan di mana pelaku ancaman menipu pengguna untuk mengirimkan tindakan atas nama mereka ke aplikasi web, sehingga pelaku dianggap sebagai pengguna terpercaya.

 

 

Bisa Ambil Alih Akun

Telkomsel
Telkomsel dan TikTok bekerja sama untuk memberikan literasi digital bagi para pengguna (Foto: Telkomsel)

Taskiran juga membuat muatan Javascript sederhana yang menggabungkan kedua kerentanan tersebut.

Skrip tersebut dapat memicu masalah CSRF, jika dimasukkan ke parameter URL yang rentan, bisa menyebabkan pengambilalihan akun dengan sekali klik.

"Endpoint tersebut memungkinkan saya menyetel kata sandi baru pada akun yang diambil alih, kemudian login menggunakan aplikasi pihak ketiga," kata hacker tersebut.

(Tin/Isk)

Lanjutkan Membaca ↓
Loading

POPULER

Berita Terkini Selengkapnya