Seputar Bug Hunter, Bug Bounty Program dan Tips Pembuatan Laporan Kerentanan yang Baik

(FEATURE) - Cyber Securiy based on Experience. 

DISCLAIMER: Tulisan ini dibuat sebagai edukasi terkhusus bagi para bug hunter. Buat belajar lebih dalam tentang Cyber Security bisa baca Convert Cyber Security Into MONEY dan untuk Bug Bounty bisa baca Bug Bounty: An Introduction to Earning Money as an Ethical Hacker SECRY

Bug Bounty Program merupakan inisiatif perusahaan untuk mengapresiasi temuan celah keamanan dari ethical hacker berupa reward. Penggiat dari program bug bounty disebut juga bug hunter yang mana dalam bahasa Indonesia berarti pemburu bug atau penguji bug yang pekerjaannya adalah mencari, meneliti dan menguji celah keamanan pada aplikasi, sistem ataupun layanan tertentu. 

Program bug bounty sangat berguna bagi perusahaan sebagai developer. Melalui program ini perusahaan dapat menemukan kerentanan lebih awal sebelum pihak yang tidak bertanggung jawab menemukan dan mengeksploitasinya hingga menimbulkan kerugian yang signifikan bagi perusahaan. Melalui program ini, perusahaan juga dapat menerapkan kontrol keamanan secara berkelanjutan.

Selain berguna bagi perusahaan, program bug bounty juga menguntungkan seorang bug hunter. Karena pada dasarnya tujuan dari program ini bagi seorang bug hunter adalah untuk mendapatkan sebuah imbalan tertentu. Imbalan yang dimaksud tidak hanya dalam bentuk finansial tetapi juga bisa dalam bentuk sertifikat penghargaan, pengakuan berupa rekomendasi (biasanya melalui LinkedIn) atau pengalaman. 

Jika kegiatan ini dilakukan dengan benar dan etis maka dapat memberikan banyak manfaat. Namun jika dilakukan secara sembarangan dan tidak bertanggung jawab bisa berbahaya karena bisa dikategorikan sebagai cyber crime dan tidak sedikit dari bug hunter yang dapat berakhir di dalam jeruji akibat hal ini. 

Beberapa program bug bounty diadakan oleh perusahaan baik itu secara mandiri atau biasa disebut dengan private bug bounty program ataupun bisa juga lewat platform tertentu. Ada beberapa platform bug bounty yang cukup terkenal dan terbukti memberikan reward diantaranya seperti Hackerone, Bugcrowd, Redstorm.io,  cyberarmy.id, cobalt.io, bugbounty.jp, hackenproof, antihack.me, zerocopter dan masih banyak lagi.

PENTINGNYA KEMAMPUAN BERKOMUNIKASI YANG BAIK DALAM MELAPORKAN BUG

Komunikasi antara bug hunter dengan developer dalam sebuah laporan bug adalah salah satu hal penting saat bug hunter hendak menyampaikan sebuah kerentanan baik saat berkontribusi di dalam program bug bounty resmi yang diadakan ataupun di dalam pekerjaan yang lebih legal yaitu pentester dan sejenisnya.  

Informasi tentang fungsi dari sebuah fitur disertai dengan letak permasalahan (kerentanan) dari fitur yang dimaksud, merupakan suatu hal dasar yang perlu disajikan oleh para penguji ke developer dengan harapan dapat memberikan informasi yang optimal dalam memahami dampak serta rekomendasi perbaikan (remediation) yang ada.