Ezequiel Pereira, Pelajar yang Temukan Kerentanan Google

Google membuat semacam program berhadiah sejumlah uang kepada orang-orang yang menemukan kerentanan atau kekurangan dalam produk dan layanan Google. Hal ini perlu dilakukan oleh Google, guna menyempurnakan layanan dan fitur Google. Salah satu temuan kerentanan terbaru ditemukan oleh seorang anak sekolah setara SMA (Sekolah Menegah Atas) di Uruguay bernama Ezequiel Pereira, yang berhasil mendapatkan hadiah dari Google senilai USD$ 10.000 (setara dengan Rp. 133 jutaan).

Ezequiel Pereira

Peneliti keamanan, baik profesional maupun amatir, telah berhasil menemukan sejumlah kerentanan dan bug dalam program dan layanan Google selama bertahun-tahun. Google menerbitkan sebuah laporan setiap saat dan kemudian mengumumkan berapa banyak uang yang telah dibayarkan, serta produk atau layanan apa yang ditemukan bug dan tingkat keparahan bug.

Program ini sangat membantu dalam membantu Google menemukan dan melakukan squash bug tingkat tinggi. Sekaligus mencegah pihak-pihak yang tak bertanggung jawab untuk mendapatkan informasi rahasia danmendapatkan informasi rahasia tentang Google, mitranya, atau bahkan pengguna layanannya.

Ezequiel Pereira berhasil menemukan bug sederhana namun sangat berbahaya danberpotensi menghancurkan layanan Google karenaorang luar masuk ke intranet internalnya. Peretasan ini padadasarnya terdiri dari perubahan di sekitar header host untuk kumpulan URL tertentu dan hanya mencoba domain yang berbeda sampai ditemukan kombinasi yang tepat sehingga membiarkan penyerang masuk tanpa kesalahan atau cek keamanan apa pun.

Dengan menggunakan alat penguji penetrasi yang disebut Burp, Ezequiel Pereira berhasil menemukan kombinasi itu dan masuk ke "yaqs.googleplex.com", sebuah situs di dalam intranet internal Google yang kebetulan terhubung ke internet, dan memposisikan layanan Google menjadi rentan dan tidak aman. Pereira dapat melewati berbagai URL dengan cepat, dan mencobanya dari deklarasi hostname yang berbeda. Tidak ada eksploitasi nyata yang digunakan disini.Pereira hanya mengatakan bahwa dia mengakses situs tersebut dari dalam Google, dan situs tersebut langsung “mempercayainya”.

Tampaknya ini adalah halaman yang tidak berbahaya yang berisi informasi yang disusun secara kategoris mengenai departemen dan layanan Google. Saat Pereira ada di sebuah file yang diberi label sebagai “rahasia”, dia langsung mengajukan laporan ke Google. Google menghubungi Ezequiel Pereira setelah melihat masalah ini secara mendalam, dan telah menemukan bahwa metode yang digunakan Pereira pada akhirnya dapat menyebabkan penyerang bisa masuk ke suatu tempat di intranet Google di mana mereka berpotensi menemukan informasi pribadi pelanggan.

Dan ketika Ezequiel Pereira tahu bahwa Google mengganjarnya dengan hadiah yang begitu besar, dengan jiwa polos anak SMA diabertanya mengapa hadiah ganjarannya begitu besar? Google menjawab bahwa kerentanan yang ditemukan oleh Ezequiel Pereira itulah jawabannya. (Nariswari)

Tweet