Temukan Celah Keamanan, Hacker Dapat Uang Rp 4,2 Miliar dari Apple

Bukan giveaway, hadiah tersebut diberikan karena para peretas ini berhasil menemukan puluhan celah keamanan (vulnerability) yang menjangkit layanan dan ekosistem Apple.

Kelompok ini terdiri dari lima orang hacker beranggotakan Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb, dan Tanner Barnes.

Apple beberapa waktu lalu memang meluncurkan sebuah program yang menawarkan hadiah imbalan (bounty) bagi siapapun yang menemukan kesalahan (bug) atau celah keamanan di sistem Apple.

Ada sekitar 55 celah keamanan yang ditemukan oleh kelompok white-hat tersebut. Dalam blog pribadinya, Sam Curry menceritakan bahwa ia dan rekan-rekannya telah meretas Apple selama setidaknya 3 bulan. 

Dari total 55 masalah, 11 celah keamanan yang ditemukan tergolong sangat mengkhawatirkan atau critical, di mana 29 bug diklaim memiliki dampak pembobolan sistem keamanan Apple yang tinggi (high), 13 menengah (medium), dan 2 rendah (low).

Puluhan celah keamanan yang ditemukan dalam durasi waktu 3 bulan tersebut (6 Juli - 6 Oktober) untungnya sudah diperbaiki oleh Apple.

Sam juga mengatakan bahwa Apple sangat sigap dan langsung memperbaiki celah keamanan yang ditemukan, terutama yang tergolong critical, dalam hitungan jam.

"Secara garis besar, Apple sangat responsif atas temuan kami. Waktu yang dibutuhkan untuk memperbaiki critical bug yang kami temukan hanya berkisar empat jam setelah kami melaporkan masalah tersebut," kata Sam, sebagaimana dikutip KompasTekno dari blog pribadi Sam Curry, Senin (12/10/2020).

Lantas, apa saja sebenarnya masalah yang ditemui oleh para peretas ini sampai-sampai Apple rela mengeluarkan uang miliaran rupiah?

Bisa kelabui sistem keamanan dan layanan Apple

Salah satu celah keamanan yang ditemukan bisa dimanfaatkan untuk mengelabui sistem otentikasi di salah satu situs Apple.

Bahkan, celah keamanan ini diklaim bisa digunakan untuk mengakses sebagian besar sistem internal Apple.

Kemudian, ada bug berupa celah keamanan dalam file cross-site scripting (XSS) yang memungkinkan peretas bisa mencuri beragam informasi seputar iCloud.

Apabila dieksploitasi, celah ini bisa dijadikan corong untuk mencuri dan memodifikasi beragam akun iCloud, berikut foto dan video, yang tersimpan di server Apple.

Ada pula beragam kode rahasia (secret keys) yang bisa ditemukan oleh para peretas. Secret keys ini lantas bisa digunakan dan dieksploitasi untuk mengakses server internal Apple, sehingga peretas bisa melihat berbagai data yang tersimpan di dalamnya.

Celah keamanan lainnya yang ditemukan oleh Sam, dkk, bisa dilihat secara lengkap di tautan berikut.