Pengenalan
Dalam era digital yang terus berkembang, keamanan dan keandalan sistem komputer merupakan faktor yang sangat penting. Dalam usaha untuk memastikan keamanan sistem, organisasi dan perusahaan sering menggunakan jasa Bug Hunter atau pencari bug. Bug hunter adalah individu yang secara sukarela mencari bugs atau celah keamanan dalam aplikasi atau sistem komputer. Namun, dalam melaksanakan tugas mereka, bug hunter perlu menjaga prinsip etika agar tidak melanggar privasi, keamanan, dan reputasi organisasi yang mereka bantu.
Dalam artikel ini, kita akan membahas tentang pentingnya Menerapkan Prinsip Etika dalam bug hunting. Kita juga akan menjelajahi beberapa prinsip etika yang harus diikuti oleh bug hunter agar dapat mengamankan sistem dengan integritas dan profesionalisme.
I. Memahami Tugas Bug Hunter
Sebelum membahas prinsip etika, penting bagi bug hunter untuk memiliki pemahaman yang jelas tentang tugas dan tanggung jawab mereka. Bug hunter bertanggung jawab untuk mencari bugs atau celah keamanan dalam aplikasi atau sistem komputer dengan tujuan membantu organisasi mengidentifikasi dan memperbaiki celah-celah tersebut. Mereka harus memastikan bahwa mereka melakukannya secara legalkan dan sesuai dengan permintaan atau kebijakan organisasi yang mereka bantu.
II. Prinsip Etika Bug Hunter
a. Transparansi
Seorang bug hunter harus selalu transparan dalam aktivitas mereka. Mereka harus memberikan informasi yang jujur dan lengkap tentang bugs yang mereka temukan kepada organisasi yang mereka bantu. Hal ini akan memungkinkan organisasi untuk mengatasi celah keamanan yang ditemukan dengan cepat dan efektif.
b. Kerahasiaan
Sebagai bug hunter, penting untuk menjaga kerahasiaan informasi yang mereka temukan. Mereka tidak boleh mengungkapkan informasi sensitif kepada pihak ketiga tanpa izin dari organisasi yang bersangkutan. Hal ini akan membantu melindungi privasi dan keamanan organisasi, serta melindungi reputasi bug hunter.
c. Legalitas
Bug hunter harus memastikan mereka melaksanakan tugas mereka secara legal. Mereka harus mengikuti hukum dan peraturan yang berlaku dalam mencari dan melaporkan bugs. Mereka tidak boleh melakukan kegiatan illegal seperti hacking atau merusak sistem.
d. Tanggung Jawab
Seorang bug hunter harus bertanggung jawab atas tindakan dan kesimpulan mereka. Mereka harus secara langsung melaporkan bugs yang mereka temukan kepada organisasi yang bersangkutan dan melewati proses yang ditetapkan oleh organisasi tersebut. Hal ini akan membantu meminimalkan risiko penyalahgunaan informasi atau kehilangan kepercayaan dari organisasi yang mereka bantu.
III. Cara Menulis Laporan
Ketika kita menemukan sebuah Kerentanan di website yang menjalankan Bug Bounty Program atau Responsible Disclosure tentunya kita melanjutkan untuk menuliskan temuan bug tersebut pada email maupun melalui platform seperti Hackerone dan yang lainnya.
Seperti judul postingan ini, kita menerapkan sebuah Etika saat melaporkan temuan celah. Bukan seperti gambar di bawah ini yang tidak bisa kalian contoh :D tentu saja di bawah adalah sebagai contoh saja
Dalam melaporkan ada beberapa tahap, diamana pelapor bug menuliskan sebuah Ringkasan, Steps To Reproduce atau Langkah-langkah, Request, Tangkapan layar atau Video, Dampak, Refrensi (opsional) dan juga jelaskan cara memperbaiki temuan bug tersebut (opsional)
a. Contoh Laporan Bug
Ringkasan:
Saya menemukan kebocoran data PII melalui pengunduhan faktur, dalam faktur pembayaran yang diunduh terdapat beberapa informasi pengguna lainnya seperti; nama, alamat, email blablablaaa
Kalian bisa tambahkan ringkasan
Steps To Reproduce:
1. Pergi ke halaman https://redacted.com/payments blablablaaa
2. tambahkan langkah-langkah sesuai bug yang kalian temukan
3.
Request:
GET /api/xxxx
Host: redacted.com
[...]
di bawah Request, jelaskan sedikit request di atas jika kalian ingin
Video PoC / Screenshot:
[Lampirkan beberapa gambar atau langkah-langkah dalam bentuk video]
Dampak:
[Jelaskan dampak dari bug tersebut]
Rekomendasi perbaikan (Opsional):
blablablaaa
Refrensi (Opsional):
https://portswigger.net/web-security/information-disclosure
https://portswigger.net/xxxx
Best regards,
Hackerman
IV. Kesimpulan
Dalam menjalankan tugasnya, seorang bug hunter harus menerapkan prinsip etika agar dapat melindungi keamanan, privasi, dan reputasi organisasi yang mereka bantu. Transparansi, kerahasiaan, legalitas, dan tanggung jawab adalah prinsip-prinsip utama yang harus diikuti oleh bug hunter. Dengan menghormati prinsip-prinsip ini, bug hunter akan dapat melaksanakan tugas mereka dengan integritas dan profesionalisme yang tinggi.
Dalam dunia yang semakin terkoneksi ini, tindakan bug hunting menjadi semakin penting. Dengan menerapkan prinsip etika yang tepat, bug hunter dapat memberikan kontribusi yang berharga dalam pembangunan sistem yang aman dan andal dalam dunia digital.
