penetration-testing

Beberapa hari lalu sempat muncul kehebohan di ranah media online yang berasal tulisan dari Yohanes Nugroho tentang bug Gojek yang beliau temukan. Jauh sebelum tulisan tersebut muncul, desas desus kabar burung yang saya dengar, API Gojek memang bocor. Kisah ini datang dari teman teman lama yang juga berkecimpung di dunia security, walaupun saya sendiri sampai saat ini belum mencoba melakukan penetrasi testing ke aplikasi Gojek.

Pro Kontra

Yang saya temukan dari komentar beberapa kawan–tentunya di kalangan IT, ada yang menyesalkan kenapa malah di publish secara umum, karena mungkin ada benefit yang di dapat dari celah keamanan Gojek ini. Di lain sisi, justru menyayangkan kenapa Gojek ini terkesan kurang pengalaman di bidang IT, hingga sistem keamanannya bolong sebesar itu, dan justru sampai meng-hire orang negeri sana sebagai developer. Yang konon developer dari negeri tersebut mempunyai track record asal jadi dalam pengerjaan 😀

Terkait tulisan Jim yang menanggapi tulisan Yohanes, tentang pengembang (dalam hal ini perusahaan startup) yang terkesan kurang menanggapi dan peduli terhadap keamanan sistemnya. Sekitar seminggu lalu saya pernah berkonsultasi dengan seorang kawan senior yang juga bermain di security system, dan komentar beliau “Semuanya, akan sadar after incident. Before incident mah ndak onok”. Masih sedikitnya perusahaan yang belum paham mengenai manfaat penetration testing, mengakibatkan banyak startup yang tidak membudget-kan buat security dan terkesan meng-anak-tiri-kan permasalahan vital ini.

Saya sendiri baru beberapa bulan ini mencoba untuk terjun kembali ke dunia security, itupun karna penasaran dengan tingkat security startup di Indonesia yang jumlahnya bejibun ini. Dan justru di awal mula saya mencoba kembali, justru banyak menangkap beberapa ikan paus 😀

Melaporkan Bug

Beberapa startup yang celahnya saya temukan, saya coba melaporkannya. Walaupun saya tidak menjabarkan detailnya, tetapi clue-nya tetap saya berikan. Beberapa dari mereka menanggapi dengan baik, beberapa lainnya belum merespon. Beberapa minggu sebelum saya menemukan blog Yohanes Nugroho, diskusi perihal bug reporting dan bagaimana mempublish bug yang sudah ditutup sudah pernah saya obrolkan dengan mas Rony. Intinya bagaimana mempublish bug yang sudah ditutup dengan etika yang baik dan tanpa membeberkan detail yang sekiranya membahayakan sistem tersebut. Dan mungkin di lain waktu akan saya coba mereview satu persatu celah keamanan di beberapa startup di Indonesia, yang tentunya sudah saya laporkan terlebih dahulu.