Bug Hunter ini Kecewa Laporan Bugnya Tidak Mendapatkan Apresiasi

Bug Hunter ini Kecewa Laporan Bugnya Tidak Mendapatkan Apresiasi. Disaat Indonesia masih yang saat ini masih dikenal sebagai negara yang menjadi sumber kejahatan cyber di dunia, sebenarnya beberapa penggiat keamanan mulai menyalurkan bakatnya ke hal yang positif, salahsatunya dengan mengikuti program bug bounty. Namun kadang buruknya respon atas laporan bug dari pihak perusahaan atau instansi pemerintah membuat para bug hunter ini enggan melaporkan bug temuan mereka.

Baru-baru ini seorang pengguna Facebook yang bernama Bayu Fedra mengutarakan kekecewaannya terhadap pihak BSSN setelah merasa tidak dihargai.

Bermula dari temuan bugnya di situs KPU, Bayu berhasil mengantongi data pemilih pada pemilu 2019, data pribadi termasuk alamat dan nomor KTP dari seluruh penduduk yang memiliki hak pilih di Indonesia. Jumlah tersebut diklaim berjumlah kurang lebih 200 juta data penduduk.

Berhasil mendapatkan data sebanyak itu, dan termasuk data yang dianggap rawan untuk disalahgunakan, Bayu pun melaporkan bug tersebut dengan menghubungi pihak BSSN dan KPU agar bug tersebut segera diperbaiki. Selang beberapa hari, bug tersebut akhirnya memang dipatch atau ditambal. Namun kekecewaannya timbul karena pihak BSSN seakan “tidak menghargai” itikad baiknya setelah melaporkan bug tersebut. Dengan laporan tersebut, yangmana data yang dia temukan juga tidak main main (data pribadi penduduk Indonesia yang memiliki hak pilih dalam pemilu), Bayu mengharapkan setidaknya pihak KPU atau BSSN mengapresiasinya dengan memebrikan sertifikat. Sertifikat tersebut, lanjutnya, pasti bisa digunakan dikemudian hari. Namun kenyatannya setelah laporan tentang bug itu disampaikan, bug sudah ditambal, pihak BSSN tidak lagi merespon email yang dikirim oleh si bug hunter.

Bug Hunter ini Kecewa Laporan Bugnya Tidak Mendapatkan Apresiasi

berikut postingan yang kami kutip langsung dari Facebook Bayu Fedra:

Sebagai bukti bahwa ia benar-benar menemukan bug tersebut, dan telah melaporkannya, ia juga melampirkan screenshot bukti email yang dia kirim ke pihak BSSN, disertai dengan cuplikan data pribadi yang berhasil dia dapatkan (dengan sensor tentunya).

Namun meski merasa kecewa dengan “respon buruk” BSSN, Bayu tetap menyarankan bahwa jika kalian menemukan bug pada instansi tertentu, lebih baik dilaporkan jika menurut kalian itu lebih baik.

Tapi perlu di ingat untuk “jangan meniru pelajaran yang kami dapatkan”, jika kalian menemukan celah silahkan di laporkan karena memang itu lebih baik, dan jika tidak mendapatkan apapun maka tetap kalem karena “lemah garing lemahe teles, Gusti Allah ingkang mbales”

Tapi setidaknya kami masih mendapatkan ucapan terimakasih salah satu staff BSSN dan mungkin sedikit bisa membantu mensukseskan pemilu

Postingan Bayu tersebut saat berita ini dirilis sudah mendapatkan lebih dari 100 share. Ya tentunya semua pihak, termasuk kita, mengharapkan pihak KPU maupun BSSN lebih menghargai para bug hunter. Karena dengan buruknya respon dari pihak pemerintah seperi kasus ini, kedepannya akan semakin banyak orang yang enggan untuk melaporkan bug yang mereka temukan ke instansi terkait.

Update 12/3/2019

Alhamdulillah saat ini laopran tersebut sudah direspon dengan baik oleh tim BSSN. Meskipun telat, akhirnya pelapor bug telah diundang oleh BSSN dan juga diberi sertifikat penghargaan.

(yuyudhn/linuxsec)

Referensi

  • https://web.facebook.com/bayufedra/posts/2469327823141740

24 KOMENTAR

    • terus kategori web bukan sampah itu gimana?
      karena ini hubungannya sama badan resmi pemerintah dan juga BSSN, apakah data KPU itu gak penting. apa data sampah?
      hahaha

      “situ miskin tong”
      tolong baca yang bener. si bayu gak butuh duit.

    • apakah anda IT SEC dari DracOs ??
      ini bukan mendapatkan keuntungan seperti melakukan acara Bug Bounty,tapi ini data Pemerintah masbroh
      saya ngakak melihat anda mengatakan seperti itu,apakah Hal yang lebih Mudah seperti SQL Injection ini harus dikatakan yang tidak seharusnya dikatakan ??
      Dia ingin mendapatkan Penghargaan atau Apresiasi dari Pemerintah bukan Uang atau apapun,jika kalau pemerintah memberinya Uang ya gpp lah.Lah ini malah dicaci-maki :v

    • Sampah? Itu salah satu web utama yang dipake untuk Pemilu 2019 nanti.

      “Miskin”?
      Kebetulan saya rekan Bayu yang nemuin itu, kita gak ngeharepin duit, alhamdulillah, semiskin2nya saya dari hasil yang katanya “sebaiknya lu pelajari dulu dunia bug bounty” kalo mau disombongin bisa buat ngebiayain istri 10 kalo boleh 🙂

    • tolol nih orang, yg lw bilang web sampah itu ada data orang Se-Indonesia untuk keperluan pemilu nanti. ngaku2 itsec dracos, sampah lw kontol.

  1. duh bro penting data segitu banyaknya, bisa dibuat aplikasi untuk cek nik ktp, knapa gak gw aja yg nemuin hahaha…

  2. Semoga Indonesia (khususnya orang pemerintahan) bisa lebih menghargai orang2 yg turut berjasa… seperti mas Bayu Fedra ini..

  3. Setahu saya setiap pejuang VDP yg lapor Pasti akan dibuatkan sertifikat dan apresiasi 🙂 coba tanyakan bebrapa hacker ada yg sudah mendapatkan sertifikat dan selalu semngat merah putih, koreksi untuk bssn adalah kurang cepat dalam memberikan apresiasi… Dan perasaan dari hacker adalah kecewa tidak mendapat kan apresiasi padahal pasti dapat, berarti koreksinya kpd bssn adalah untuk lebih cepat memberikan respon…

  4. Ada izinkah untuk melakukan pentest ke sistem KPU?
    Kalau tidak ada izin, bisakah itu dibilang melanggar aturan?
    Kalau melanggar aturan apakah cocok untuk diapresiasi?
    bug bounty itu untuk semua web/sistem yg ada di dunia atau cuma untuk web/sistem yg sedang melakukan program bug bounty?

  5. Saya menghargai mas bayu fedra yg berhasil menemukan celah dr sql injection.

    Tp sebagai developer, klo sistem masih bs ditembus dgn teknik sql injection, bearti sistem nya dibangun oleh developer yg sangat tidak profesional.

    Ya wajar sih klo mereka diam saja, karena teknik sql injection itu masih level basic/fundamental security. Mereka mungkin merasa memang ga perlu ada apresiasi.

    Ibaratnya begini, Anda punya sistem sepeda tapi rem nya ga berfungsi, kemudian ada orang yg bilang pak rem nya ga jalan? Trus developer nya oh ya terima kasih atas laporan nya. Kemudian orang nya pengen diapresiasikan? Waduh klo saya malah malu sebenernya.hehe..

    saya ambil contoh rem karena rem itu merupakan basic keamanan bersepeda. Setara dengan keamanan database dr sql injection.

    Dan klo dikatakan sebagai bug bounty hunter ya sbnrnya masih belum lah. Masih kurang jauh jam terbang nya. Hehe..

LEAVE A REPLY

Please enter your comment!
Please enter your name here