Apakah Anda mengetahui laporan karunia bug clickjacking palsu? Jika tidak, Anda harus. Artikel ini akan membantu Anda mempercepat dan membantu Anda tetap waspada.
Apa itu laporan karunia bug clickjacking?
Jika kita mulai dengan memecah istilah menjadi bagian-bagian komponennya, bug bounty adalah program yang ditawarkan oleh sebuah organisasi, di mana individu dihargai karena menemukan dan melaporkan bug perangkat lunak. Program ini sering digunakan oleh perusahaan sebagai cara hemat biaya untuk menemukan dan memperbaiki kerentanan perangkat lunak, sehingga meningkatkan keamanan produk mereka. Mereka juga membantu membangun niat baik dengan komunitas keamanan.
Untuk pemburu hadiah (atau peretas topi putih), mereka memiliki kesempatan untuk mendapatkan uang dan pengakuan atas keterampilan mereka.
Clickjacking adalah teknik jahat yang digunakan untuk mengelabui pengguna agar mengklik sesuatu yang menurut mereka aman, tetapi sebenarnya berbahaya. Misalnya, seorang peretas dapat membuat tombol palsu yang terlihat seperti tombol “suka” di situs media sosial. Saat pengguna mengkliknya, mereka mungkin secara tidak sadar menyukai halaman atau memposting konten berbahaya. Meskipun ini mungkin tampak seperti lelucon yang tidak berbahaya, clickjacking dapat digunakan untuk tujuan yang lebih berbahaya, seperti menginfeksi komputer pengguna dengan malware atau mencuri informasi sensitif.
Mengingat potensi kerusakan, clickjacking dapat menyebabkan, hadiah besar yang melaporkan kasus itu bisa sangat bermanfaat bagi organisasi.
Perusahaan saya tidak menawarkan hadiah bug. Apakah perlu?
Karena laporan bug bounty dapat membawa keuntungan finansial bagi pemburu hadiah dan organisasi, yang pertama sering tidak menunggu undangan untuk berburu bug dan akan mengambil pendekatan yang lebih proaktif. Ini berarti Anda dapat dikirimi laporan bounty bahkan jika Anda tidak memiliki program bug bounty formal. Praktik ini – di mana sebuah laporan datang tanpa diminta dengan permintaan uang – sering disebut sebagai “beg bounty”.
Jadi apa masalahnya?
Ada tren yang berkembang dalam laporan karunia bug palsu karena individu menggunakan alat pemindaian untuk menghasilkan “masalah” dan kemudian menandainya ke sebanyak mungkin organisasi tanpa mempertimbangkan risiko sebenarnya.
Sementara beberapa akan terlihat palsu, laporan lain mungkin cukup canggih untuk menipu sebuah organisasi dari ribuan dolar. Dan dengan menjadi korban, Anda tidak hanya membayar hadiah yang tidak layak; Anda juga menunjukkan kepada pemburu hadiah bahwa Anda memiliki keahlian keamanan yang terbatas – kelemahan yang kemungkinan besar akan mereka kembalikan dan eksploitasi.
Tentu saja, menutup pintu dan mengabaikan semua laporan bug bounty bukanlah jawabannya. Ada orang-orang yang benar-benar baik di luar sana yang mencoba membantu, dan penemuan mereka mungkin menyelamatkan bisnis Anda dari banyak kesedihan dan biaya.
Jadi bagaimana Anda tahu apakah laporan bug bounty itu asli, terutama jika Anda bukan profesional keamanan atau tidak memiliki tim keamanan?
Bagaimana cara mengidentifikasi laporan karunia bug clickjacking palsu?
Ketika laporan seperti itu dari orang-orang yang memposisikan diri mereka sebagai pakar keamanan muncul, mungkin sulit untuk menentukan mana yang asli dan mana yang palsu, tetapi ada perusahaan yang dapat melakukan tinjauan laporan bug bounty untuk memberi Anda ketenangan pikiran. Ini ditawarkan oleh penyedia pemindaian kerentanan tertentu, yang sebagai bagian dari layanan mereka, juga akan terus mengawasi sistem Anda untuk mengidentifikasi, menganalisis, dan memulihkan kerentanan kritis dengan lebih cepat.
Penyusup, yang menawarkan layanan semacam itu dan telah membantu klien mengungkap laporan karunia bug clickjacking palsu selama bertahun-tahun, telah melihat peningkatan kasus baru-baru ini. Hanya beberapa minggu yang lalu, salah satu pelanggan Vanguard diberitahu tentang “laporan kerentanan” anonim. Reporter tersebut mengklaim dapat melewati perlindungan clickjacking mereka menggunakan beberapa JavaScript yang tersedia untuk umum, tetapi berkat pengetahuan mendalam tim Vanguard tentang sistem klien, ia dapat menghapus laporan sebagai palsu dengan sangat cepat.
Ada juga beberapa hal yang dapat Anda perhatikan untuk menemukan sendiri laporan palsu:
- Relevansi dengan situasi Anda. Jika itu adalah laporan karunia bug berkualitas tinggi, itu akan merujuk ke sistem, halaman, atau program yang digunakan organisasi Anda dan spesifik dalam detailnya.
- Penjelasan dampak. Pemburu hadiah bug asli akan berusaha keras untuk mendapatkan hadiah mereka dan akan dapat menunjukkan bahwa kerentanan yang mereka temukan lebih mahal bagi Anda daripada “biaya” mereka. Semakin banyak informasi yang dapat mereka berikan tentang dampak kerentanan baik dari segi ukuran maupun implikasinya terhadap situs web dan organisasi Anda, semakin baik.
- Struktur laporan. Seseorang yang menjalankan surat massal dari laporan karunia bug palsu kemungkinan besar akan menggunakan template untuk pelaporan mereka dan mungkin menggunakan istilah umum yang tidak relevan dengan bisnis Anda.
- Syarat pembayaran. Jika pemburu hadiah meminta pembayaran di muka tanpa memberikan detail apa pun dari temuan mereka, ini adalah tanda bahaya. Anda dapat merespons dengan mengatakan bahwa Anda tidak dapat menawarkan hadiah tanpa melihat laporan terlebih dahulu, dan melihat apakah mereka merespons, atau Anda bisa mendapatkan bantuan ahli seperti Penyusup yang akan memberikan saran tentang tindakan terbaik.
- Kepatuhan terhadap kebijakan Anda. Lihat pengaturan kotak surat keamanan tertentu dan perkenalkan kebijakan melalui file security.txt yang menyatakan Anda hanya akan meninjau laporan hadiah yang dikirim ke alamat itu.
- peniru. Cara lain yang baik untuk mengidentifikasi hadiah pengemis adalah dengan mencari contoh online di mana perusahaan lain menerima laporan yang sama. Laporan karunia bug asli akan unik untuk sistem dan situasi Anda.
Menjadi korban laporan karunia bug palsu bisa kehilangan uang Anda dan membuat Anda siap menghadapi serangan laporan palsu lebih lanjut, atau lebih buruk, serangan, di masa depan. Hindari masalah seperti itu dengan memiliki pemindaian otomatis terus menerus dan tim profesional keamanan ahli di sisi Anda, dari perusahaan seperti Penyusup. Kemampuannya untuk menyelidiki lebih dalam dan memvalidasi kelemahan potensial dapat berdampak besar pada bisnis Anda.
