Timeline Mark Zuckerberg Jadi Ajang Pembuktian Celah Keamanan Facebook

Facebook bugAwal minggu lalu, seorang security researcher bernama Khalil Shreateh menemukan sebuah bug yang dapat diexploitasi menjadi celah keamanan bagi situs sosial media terpopuler – Facebook. Celah keamanan ini memungkinkan siapapun untuk dapat mem-post apapun di wall siapapun. Celah keamanan ini membuat privacy setting menjadi tidak berguna.

Khalil membuktikan adanya celah keamanan ini, yang tadinya tidak dianggap oleh tim Facebook, dengan melakukan posting di wall Mark Zuckerberg, sang pendiri Facebook. Namun rupanya apa yang dilakukan Khalil tidak diterima dengan senang hati oleh Facebook. Berikut detil ceritanya;

Bounty Hunt

Sebelum berbicara kronologis, ada hal yang perlu diketahui mengenai budaya yang ada di dunia per-corporate IT-an, yaitu bugs bounty hunt. Singkatnya, siapapun yang dapat menemukan bugs atau celah keamanan dalam sebuah perangkat lunak atau website perusahaan akan dijanjikan hadiah dari perusahaan tersebut, serupa dengan sayembara masa majapahit dulu (red: sayembaranya, bukan bugsnya). Dengan kondisi demikian, banyak orang berlomba-lomba untuk menemukan bugs tersebut dan melaporkannya.

Apa yang dilakukan Khalil serupa dengan penjelasan tersebut.

Kronologis

Khalil, sebagai seorang security researcher, berhasil menemukan celah keamanan yang dapat mengganggu privasi pengguna Facebook. Dengan niat baik ingin memberitahu tim facebook atas masalah ini, Khalil-pun mem-file-kan bug report kepada tim teknis facebook dengan menyertakan link yang berisi postingan di wall Sarah Goodin, teman dari Mark Zuckerberg.

Adalah bug karena tidak seharusnya Khalil dapat memposting di wall Sarah Goodin (red: wanita pertama di Facebook lho) karena Khalil tidak berteman dengan Sarah di Facebook.

Ketika tim teknis Facebook membuka link yang dikirim Khalil, mereka tidak mendapati post yang dimaksud melainkan hanya pesan error. Hal ini terjadi karena tim teknis tersebut tidak berteman dengan Sarah (meskipun seharusnya mereka bisa mem-by pass privacy setting tersebut untuk menunjukkan klaim Khalil). Singkat cerita, klaim bugs Khalil tertolak dan dinyatakan bukan bugs.

Rupanya Khalil tidak menyerah. Apabila temannya Mark kurang mendapatkan perhatian, akankah laporannya diperhatikan apabila wall pendiri Facebook tersebut dijadikan ajang pembuktian penemuannya? Jawabannya Ya. Tidak lama setelah Khalil mem-post di wall Zuckerberg (hanya selang beberapa menit), ribuan tim kemanan Facebook langsung mencoba menghubungi Khalil (red: ga ribuan juga sih). Sukses, Khalil mendapatkan perhatian Facebook, dan klaim bugsnya terbukti benar.

Timeline Zuckerberg

Mana Hadiah Saya?

Facebook menjanjikan hadiah minimal $500 bagi siapa saja yang menemukan bugs kritis dalam layanannya (maksimal tak terhingga), namun sayang, kali ini Khalil tidak termasuk kedalam golongan tersebut.

Dalam Syarat dan Ketentuannya, sayembara tersebut mengharuskan pelapor untuk menggunakan test account, bukan akun asli yang telah dimiliki orang lain. Singkat kata, karena yang dilakukan Khalil melanggar ketentuan privasi Facebook dan ketentuan sayembara, Khalil tidak akan mendapatkan satu sen pun.

berikut kutipan jawaban tim Facebook:

Unfortunately your report to our Whitehat system did not have enough technical information for us to take action on it. We cannot respond to reports which do not contain enough detail to allow us to reproduce an issue. When you submit reports in the future, we ask you to please include enough detail to repeat your actions.

We are unfortunately not able to pay you for this vulnerability because your actions violated our Terms of Service. We do hope, however, that you continue to work with us to find vulnerabilities in the site.

Pro Kontra

Kejadian yang dialami Khalil menuai Pro Kontra. Yang Pro beranggapan Khalil tetap berhak mendapatkan hadiah karena niat baiknya. Bayangkan apa yang terjadi apabila Khalil menjual celah tersebut kepada Spammer. Atau marketer yang tidak bertanggung jawab.

Sedangkan yang kontra berpegang bahwa apa yang dilakukan Khalil melanggar ketentuan, sehingga tetap tidak berhak mendapatkan hadiah. Bagaimana menurut Anda?

 

 

Terima kasih telah membaca

 

galihpermadi

Editor aitinesia. Kalo lagi ga sibuk ngurusin aitinesia, biasanya doi sibuk ngurusin badan. Gemar cabang-cabang olahraga menantang seperti Catur dan Monopoli.

More Posts - Website

Follow Me:
TwitterFacebookLinkedInGoogle Plus

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>