Facebook adalah salah satu platform media sosial terbesar di dunia, dengan lebih dari 2,8 miliar pengguna aktif bulanan. Namun, popularitasnya juga membuatnya menjadi target utama bagi para hacker yang ingin mengeksploitasi kerentanan keamanannya. Salah satu hacker yang berhasil menemukan dan melaporkan kerentanan zero-click di Facebook adalah Bishal Shrestha, seorang hacker etis berusia 18 tahun asal Nepal.
.
Apa itu kerentanan zero-click?
Apa itu kerentanan zero-click?
Kerentanan zero-click adalah jenis kerentanan yang memungkinkan penyerang untuk mengambil alih akun korban tanpa memerlukan interaksi apa pun dari sisi korban. Dengan kata lain, korban tidak perlu mengklik tautan, membuka lampiran, atau melakukan tindakan lain yang biasanya diperlukan untuk menjalankan kode jahat. Kerentanan zero-click sangat berbahaya karena sulit dideteksi dan dicegah oleh pengguna dan penyedia layanan.
.
Bagaimana Bishal Shrestha menemukan kerentanan zero-click di Facebook?
Bagaimana Bishal Shrestha menemukan kerentanan zero-click di Facebook?
Bishal Shrestha adalah seorang hacker etis yang telah tertarik dengan keamanan siber sejak usia 14 tahun. Dia telah berpartisipasi dalam berbagai program bug bounty, yaitu program yang memberi imbalan kepada hacker yang melaporkan kerentanan keamanan di situs web atau aplikasi tertentu. Salah satu program bug bounty yang diikuti oleh Bishal Shrestha adalah program bug bounty Facebook, yang merupakan salah satu program bug bounty terbesar dan tertua di dunia.
.
Pada bulan Februari 2024, Bishal Shrestha menemukan kerentanan zero-click di Facebook yang memanfaatkan fitur meta tag. Meta tag adalah potongan kode HTML yang memberikan informasi tentang halaman web, seperti judul, deskripsi, kata kunci, dan gambar pratinjau. Meta tag sering digunakan oleh mesin pencari dan media sosial untuk menampilkan informasi yang relevan tentang halaman web yang ditautkan.
Pada bulan Februari 2024, Bishal Shrestha menemukan kerentanan zero-click di Facebook yang memanfaatkan fitur meta tag. Meta tag adalah potongan kode HTML yang memberikan informasi tentang halaman web, seperti judul, deskripsi, kata kunci, dan gambar pratinjau. Meta tag sering digunakan oleh mesin pencari dan media sosial untuk menampilkan informasi yang relevan tentang halaman web yang ditautkan.
.
Bishal Shrestha menemukan bahwa dia bisa menyisipkan kode JavaScript jahat di meta tag halaman web yang dibuatnya sendiri, dan kemudian mengirim tautan halaman tersebut ke akun Facebook lain melalui pesan. Ketika akun Facebook lain tersebut menerima pesan tersebut, kode JavaScript akan dieksekusi secara otomatis tanpa perlu diklik oleh penerima. Dengan cara ini, Bishal Shrestha bisa mengambil alih akun Facebook korban dan melakukan apa pun yang dia inginkan, seperti mengubah kata sandi, mengirim pesan, atau menghapus akun.
Bishal Shrestha menemukan bahwa dia bisa menyisipkan kode JavaScript jahat di meta tag halaman web yang dibuatnya sendiri, dan kemudian mengirim tautan halaman tersebut ke akun Facebook lain melalui pesan. Ketika akun Facebook lain tersebut menerima pesan tersebut, kode JavaScript akan dieksekusi secara otomatis tanpa perlu diklik oleh penerima. Dengan cara ini, Bishal Shrestha bisa mengambil alih akun Facebook korban dan melakukan apa pun yang dia inginkan, seperti mengubah kata sandi, mengirim pesan, atau menghapus akun.
.
Bagaimana Facebook menanggapi laporan Bishal Shrestha?
Bagaimana Facebook menanggapi laporan Bishal Shrestha?
Bishal Shrestha segera melaporkan kerentanan zero-click yang dia temukan ke tim keamanan Facebook melalui program bug bounty mereka. Tim keamanan Facebook mengkonfirmasi bahwa kerentanan tersebut adalah valid dan serius, dan segera memperbaikinya dalam waktu kurang dari 24 jam. Facebook juga memberikan penghargaan kepada Bishal Shrestha dengan menempatkannya di posisi pertama dalam daftar Hall of Fame mereka untuk bulan Februari 2024. Hall of Fame adalah daftar yang menampilkan nama-nama hacker yang telah melaporkan kerentanan keamanan paling penting dan berdampak kepada Facebook.
.
Sayangnya, tidak diketahui berapa banyak uang yang diterima oleh Bishal Shrestha sebagai bagian dari program bug bounty Facebook. Facebook tidak mengungkapkan jumlah imbalan yang mereka berikan kepada hacker, dan hanya mengatakan bahwa mereka membayar sesuai dengan tingkat keparahan dan dampak kerentanan. Namun, berdasarkan laporan sebelumnya, Facebook telah membayar hingga $40.000 untuk kerentanan zero-click di aplikasi Messenger mereka pada tahun 2019. Oleh karena itu, bisa diperkirakan bahwa Bishal Shrestha mendapatkan imbalan yang cukup besar untuk kerentanan zero-click yang dia laporkan.
Sayangnya, tidak diketahui berapa banyak uang yang diterima oleh Bishal Shrestha sebagai bagian dari program bug bounty Facebook. Facebook tidak mengungkapkan jumlah imbalan yang mereka berikan kepada hacker, dan hanya mengatakan bahwa mereka membayar sesuai dengan tingkat keparahan dan dampak kerentanan. Namun, berdasarkan laporan sebelumnya, Facebook telah membayar hingga $40.000 untuk kerentanan zero-click di aplikasi Messenger mereka pada tahun 2019. Oleh karena itu, bisa diperkirakan bahwa Bishal Shrestha mendapatkan imbalan yang cukup besar untuk kerentanan zero-click yang dia laporkan.
.
Apa dampak dan pelajaran dari penemuan Bishal Shrestha?
Apa dampak dan pelajaran dari penemuan Bishal Shrestha?
Penemuan Bishal Shrestha menunjukkan bahwa Facebook masih rentan terhadap serangan zero-click, meskipun telah menginvestasikan banyak sumber daya dan upaya untuk meningkatkan keamanan platform mereka. Serangan zero-click dapat membahayakan privasi dan keamanan jutaan pengguna Facebook, dan juga dapat merusak reputasi dan kepercayaan Facebook sebagai penyedia layanan media sosial. Oleh karena itu, Facebook harus terus berusaha untuk mendeteksi dan memperbaiki kerentanan zero-click dan jenis kerentanan lainnya yang mungkin ada di platform mereka.
.
Penemuan Bishal Shrestha juga menunjukkan bahwa hacker etis memiliki peran penting dalam membantu Facebook dan perusahaan lain untuk meningkatkan keamanan mereka. Hacker etis adalah orang-orang yang menggunakan keterampilan dan pengetahuan mereka tentang hacking untuk tujuan yang baik, yaitu untuk melaporkan kerentanan keamanan kepada pihak yang bertanggung jawab, bukan untuk mengeksploitasi atau merusaknya. Hacker etis dapat membantu perusahaan untuk mengidentifikasi dan memperbaiki kerentanan keamanan sebelum penyerang jahat menemukannya dan menyalahgunakannya. Hacker etis juga dapat memberikan umpan balik dan saran kepada perusahaan tentang cara meningkatkan praktik keamanan mereka.
Penemuan Bishal Shrestha juga menunjukkan bahwa hacker etis memiliki peran penting dalam membantu Facebook dan perusahaan lain untuk meningkatkan keamanan mereka. Hacker etis adalah orang-orang yang menggunakan keterampilan dan pengetahuan mereka tentang hacking untuk tujuan yang baik, yaitu untuk melaporkan kerentanan keamanan kepada pihak yang bertanggung jawab, bukan untuk mengeksploitasi atau merusaknya. Hacker etis dapat membantu perusahaan untuk mengidentifikasi dan memperbaiki kerentanan keamanan sebelum penyerang jahat menemukannya dan menyalahgunakannya. Hacker etis juga dapat memberikan umpan balik dan saran kepada perusahaan tentang cara meningkatkan praktik keamanan mereka.
.
Bishal Shrestha adalah salah satu contoh hacker etis yang telah memberikan kontribusi positif bagi keamanan siber. Dia telah menunjukkan bahwa usia, latar belakang, atau lokasi tidak menjadi penghalang bagi seseorang untuk menjadi hacker etis. Yang dibutuhkan adalah minat, dedikasi, dan tanggung jawab. Bishal Shrestha juga telah menginspirasi banyak orang, terutama di negaranya sendiri, Nepal, untuk belajar lebih banyak tentang keamanan siber dan menjadi hacker etis.
sumber
Bishal Shrestha adalah salah satu contoh hacker etis yang telah memberikan kontribusi positif bagi keamanan siber. Dia telah menunjukkan bahwa usia, latar belakang, atau lokasi tidak menjadi penghalang bagi seseorang untuk menjadi hacker etis. Yang dibutuhkan adalah minat, dedikasi, dan tanggung jawab. Bishal Shrestha juga telah menginspirasi banyak orang, terutama di negaranya sendiri, Nepal, untuk belajar lebih banyak tentang keamanan siber dan menjadi hacker etis.
sumber