Hacker Bobol 35 Perusahaan Teknologi Besar, Dapat Hadiah Rp 1,8 Miliar

Dalam melancarkan aksinya, Birsan mengunggah malware ke lokasi penyimpanan milik layanan open source seperti Python Package Index (PyPI), npm, dan RubyGems.

Malware tersebut kemudian didistribusikan untuk menembus server internal perusahaan. Teknik peretasan yang dilakukan Birsan terbilang canggih.

Pasalnya, malware yang dikirimkan Birsan dapat secara otomatis menyusup ke sistem keamanan perusahaan, tanpa membutuhkan campur tangan langsung korban.

Birsan memanfaatkan cacat desain unik yang dimiliki oleh layanan open source tersebut. Ia menyebut celah tersebut dengan istilah dependency confusion.

Meski sukses menyusup ke sistem keamanan perusahaan, namun Birsan mengaku tidak memiliki niat jahat. Birsan justru melaporkan celah keamanan tersebut kepada seluruh perusahaan yang telah berhasil dibobolnya.

Berkat tindakan mulia tersebut, Birsan berhasil mengumpulkan hadiah "bug bounty" sebesar 130.000 dollar AS (sekitar Rp 1,8 miliar), sebagaimana dirangkum KompasTekno dari Bleeping Computer, Senin (15/2/2021).

Sejak tahun lalu

Upaya peretasan tersebut rupanya telah direncanakan Birsan sejak 2020 lalu. Kala itu, Birsan menyadari bahwa terdapat beberapa file manifest yang tidak tersedia secara publik pada npm package PayPal.

Pihak PayPal justru membuat npm package tersebut untuk kemudian digunakan dan disimpan secara pribadi oleh perusahaan.

Mengetahui hal tersebut, Birsan bertanya-tanya, apakah ia dapat menggunakan package palsu yang dinamai ulang. Package tersebut rencananya bakal di-hosting secara publik untuk menginfeksi server.

Untuk menguji hipotesis ini, Birsan kemudian mencari file internal package perusahaan di file manifes repositori GitHub atau di CDN.

Selanjutnya, Birsan membuat package versi rakitannya sendiri, namun dengan nama yang serupa dengan file internal package. Package tersebut kemudian ia bagikan melalui layanan npm, PyPI, dan RubyGems.

Birsan turut menyatakan bahwa package tersebut tidak mengandung file yang dapat membahayakan sistem keamanan perusahaan.

"Package ini dimaksudkan untuk tujuan penelitian keamanan, dan tidak berisi kode berbahaya," sebut Birsan.