Periset India ini dapatkan Rp80 juta usai menemukan bug di Uber
Pendiri perusahaan keamanan siber yang berprofesi sebagai peretas etis, Anand Prakash diber hadiah sekitar Rp80 juta oleh raksasa perjalanan Uber karena memberikan informasi tentang bug di aplikasi itu pada tahun 2019. Prakash menemukan bug pada tahun 2017 yang memungkinkan pengguna mendapatkan perjalanan gratis seumur hidup. Baru-baru ini, Prakash mengungkapkan dalam posting LinkedIn bagaimana dia mendeteksi bug itu.
Prakash menemukan bug melalui pemeriksaan rutin
Walaupun perjalanan gratis yang dipicu oleh bug akan membuat segalanya lebih mudah bagi pelanggan, perusahaan tentu mengalami kerugian besar. Dalam postingan panjangnya, Prakash mengungkapkan bahwa dia menemukan bug di aplikasi Uber saat mencoba melakukan pemeriksaan rutin pada aplikasi itu karena sepertinya menjadi studi kasus yang menarik baginya.
Pengguna memesan dan menggunakan metode pembayaran yang tidak valid
Karena Uber memiliki lebih dari 131 juta pengguna, Prakash ingin tahu kerentanan apa yang mungkin ada di aplikasi yang juga menarik bagi peretas lainnya. Dia menemukan bahwa pengguna dapat melakukan sejumlah perjalanan gratis di India dan AS. Pengguna memesan tumpangan dan menggunakan metode pembayaran yang tidak valid dan akhirnya perjalanan itu menjadi gratis untuk mereka.
Prakash memberi tahu Uber dan bug itu segera diperbaiki
"Saya bahkan membuat video untuk menunjukkan bukti konsep bahwa yang harus saya lakukan hanyalah menentukan metode pembayaran yang tidak valid dalam rangkaian karakter sederhana seperti "abc" atau "xyz", dan tidak ditagih untuk pergi," demikian bunyi postingan LinkedIn Prakash. Prakash lebih lanjut mengungkapkan, dirinya memberi tahu Uber tentang hal ini dan perusahaan segera memperbaikinya demi mencegah potensi risiko di masa depan.
Perusahaan harus adopsi keamanan proaktif untuk temukan kerentanan: Prakash
Kendati menyatakan kepuasannya karena telah membantu memperbaiki bug, Prakash juga memperingatkan terhadap masalah yang menimbulkan komplikasi bagi perusahaan seperti hilangnya pendapatan. Dia menyarankan, perusahaan harus menerapkan keamanan proaktif untuk menemukan kerentanan. Perusahaan harus menguji aplikasi secara manual karena sebagian besar alat akan melewatkannya. Dia menambahkan, penilaian keamanan yang konsisten diperlukan dengan melibatkan komunitas peretas eksternal.
Prakash memahami bagaimana peretas berpikir dan bekerja
Prakash juga mengungkapkan, perusahaan perlu melakukan lebih banyak pemeriksaan pada CI/CD untuk mendeteksi masalah sejak dini. Dia menyatakan bahwa sebagai seorang peretas etis, dia mengerti bagaimana peretas berpikir dan bekerja. Ini memberinya pandangan untuk memecahkan masalah kode keamanan. "Kami selalu berperan sebagai advokat jahat sehingga mereka dapat melindungi perusahaan dan pelanggan seperti yang dilakukan," tulisnya lebih lanjut.
