Data Pelanggan Dijebol, Uber Bayar Hacker 20 Tahun Uang Tebusan Rp 1,3 Miliar

Kamis, 7 Desember 2017 12:02
Data Pelanggan Dijebol, Uber Bayar Hacker 20 Tahun Uang Tebusan Rp 1,3 Miliar

Sooperboy.com - Seorang pria Florida, Amerika Serikat, berusia 20 tahun, dikabarkan bertanggung jawab atas pembobolan data pelanggan besar-besaran yang terjadi di Uber Technologies tahun lalu.

Menurut pengakuan tiga orang di dalam perusahaan Uber yang familiar dengan kejadian tersebut,  pria itu telah dibayar oleh Uber untuk menghancurkan data curian itu melalui program "bug bounty" yang biasanya digunakan untuk mengidentifikasi kerentanan celah keamananan sistem.

Menurut CNBC, Kamis 7 Desember 2017, pada tanggal 21 November lalu Uber mengumumkan bahwa data pribadi 57 juta pengguna, termasuk 600.000 pengemudi Uber di Amerika Serikat, telah dicuri oleh seorang hacker atau peretas.

Peretasan itu terjadi pada bulan Oktober 2016. Dan Uber telah membayar hacker itu uang U$ 100.000 atau Rp 1,3 miliar untuk menghancurkan informasi rahasia itu. Namun perusahaan tersebut tidak mengungkapkan identitas hacker tersebut atau bagaimana Uber membayarnya.

Uber membuat pembayaran tahun lalu melalui sebuah program yang dirancang untuk memberi penghargaan kepada periset keamanan yang melaporkan kekurangan dalam perangkat lunak perusahaan.
 
Layanan mencari kelemahan sistem Uber, diselenggarakan oleh sebuah perusahaan bernama HackerOne, yang juga menawarkan platform serupa ke sejumlah perusahaan teknologi.

Juru bicara Uber, Matt Kallman, menolak berkomentar mengenai masalah tersebut.

Kepala Eksekutif Uber yang baru diangkat, Dara Khosrowshahi, langsung memecat dua petugas keamanan utama Uber saat mengumumkan pelanggaran bulan lalu, dengan mengatakan bahwa insiden tersebut seharusnya diungkapkan kepada regulator pada saat itu ditemukan, sekitar setahun sebelumnya.

Masih belum jelas siapa yang membuat keputusan akhir untuk memberi otorisasi pembayaran kepada peretas itu dan untuk menjaga rahasia pelanggan tersebut, walaupun sebuah sumber tersebut mengatakannya CEO lama Travis Kalanick menyadari potensi pelanggaran pembayaran dengan dalih hadiah bagi pencarian bug atau kutu di sistem  pada bulan November tahun lalu.

Kalanick, yang mengundurkan diri sebagai CEO Uber pada bulan Juni, menolak untuk mengomentari masalah tersebut.

Pembayaran sebesar $ 100.000 melalui program hadiah pencarian bug akan sangat tidak biasa. Menurut seorang mantan eksekutif HackerOne uang sebesar itu akan menjadi "rekor sejarah sepanjang masa".

Para profesional keamanan mengatakan bahwa peretas yang mencuri data juga akan berada di luar aturan normal program hadiah, di mana pembayaran biasanya hanya berkisar antara U$ 5.000 atau Rp 67 juta sampai U$ 10.000 atau Rp 135 juta. Maka, membayar Rp 1,3 miliar untuk program pencarian kelemahan sistem atau bug bounty, terasa mengada-ada.

CEO HackerOne, Marten Mickos, mengatakan bahwa dia tidak dapat mendiskusikan program pelanggan individual.

Menurut dua sumber dalam perusahaan, Uber melakukan pembayaran untuk mengkonfirmasi identitas si hacker dan meminta dia menandatangani perjanjian nondisclosure atau  tidak mengungkap data rahasia itu ke publik. Uber juga melakukan analisis forensik terhadap mesin peretas untuk memastikan semua data telah dibersihkan, kata sumber tersebut.

Salah satu sumber menggambarkan peretas itu sebagai seseorang pria yang "tinggal dengan ibunya di sebuah rumah kecil dan tengah berusaha membantu ibunya membayar tagihan."  Ia menambahkan anggota tim keamanan Uber tidak ingin melanjutkan penuntutan terhadap pria itu dengan alasan tidak menimbulkan bahaya lebih jauh.

Pria peretas asal Florida itu juga membayar orang kedua untuk layanan yang melibatkan akses GitHub, sebuah situs yang banyak digunakan oleh pemrogram untuk menyimpan kode mereka, untuk mendapatkan kredensial akses ke data Uber yang disimpan di tempat lain.

GitHub mengatakan bahwa serangan tersebut tidak menunjukkan  kegagalan sistem keamanan mereka. "Rekomendasi kami adalah jangan pernah menyimpan akses token, kata sandi, atau kunci otentikasi atau enkripsi lainnya dalam kode," kata perusahaan itu dalam sebuah pernyataan.

Menurut sumber di dalam perusahaan, Uber menerima email tahun lalu dari orang tak dikenal yang meminta uang dengan imbalan kerahasiaan data pengguna yang telah dijebol orang itu.

Program hadiah pencarian bug atau kutu dirancang terutama untuk memberi periset keamanan sebuah insentif untuk melaporkan kelemahan yang mereka temukan di perangkat lunak perusahaan. Tapi skenario rumit bisa muncul saat berhadapan dengan hacker yang mendapatkan informasi secara ilegal dan tengah mencari uang tebusan.

Beberapa perusahaan memilih untuk tidak melaporkan peretasan itu kepada pihak berwajib, dengan alasan akan lebih mudah dan efektif untuk perusahaan melakukan negosiasi langsung dengan peretas guna membatasi kerugian bagi pelanggan.

Pembayaran uang sebesar U$ 100.000  itu dinilai  luar biasa, menurut pendiri Luta Security, Katie Moussouris yang juga mantan eksekutif HackerOne.

"Jika itu adalah hadiah pencarian bug yang sah, itu akan ideal bagi semua orang yang terlibat untuk meneriakkannya dari atap rumah," kata Moussouris.

Kegagalan Uber untuk melaporkan pelanggaran terhadap regulator, meskipun mungkin karena mereka merasa telah mengatasi masalah tersebut, adalah kesalahan, menurut orang-orang di dalam dan di luar perusahaan yang berbicara pada pers.

Uber memecat petugas keamanan utamanya, Joe Sullivan, dan seorang wakilnya, Craig Clark, atas peran mereka dalam insiden tersebut.

"Semua ini tidak seharusnya terjadi, dan saya tidak akan membuat alasan untuk itu,"  tulis Khosrowshahi dalam sebuah unggahan di blog yang mengumumkan peretasan itu bulan lalu.

Clark bekerja secara langsung untuk Sullivan namun juga melapor ke tim hukum dan privasi Uber, menurut tiga orang sumber yang tahu dengan kasus tersebut. Tidak jelas apakah Clark menginformasikan departemen hukum Uber, yang biasanya menangani masalah pengungkapan informasi.

Sullivan dan Clark tidak menanggapi permintaan komentar.

Pekan lalu, tiga manajer top lainnya di unit keamanan Uber juga mengundurkan diri.

Peretasan adalah hal biasa yang mengeksploitasi kelemahan sistem. Tapi menyuap hacker untuk tidak membeberkan informasi yang dijebol juga bukan sikap yang mulia... (eha)

Baca juga:

Ketahuan Kunjungi Selingkuhan, Pria Gugat Uber Rp 638 Milyar

Takut Komputer Dibobol Hacker Rusia, Juara Dunia Catur Lapor Polisi

Jim Geovedi, Hacker Asal Lampung Peretas Satelit

SexyCyborg, Si Hacker Seksi Dari Cina

Parisa Tabriz, Hacker Cantik dari Google