NEW DELHI: Kanishk Sajnani tidak menerima ucapan terima kasih dari sebuah maskapai penerbangan besar India ketika dia menghubungi mereka dengan berita yang meresahkan – dia telah meretas situs web mereka dan dapat memesan penerbangan ke mana pun di dunia secara gratis.
Ini adalah kisah yang lazim bagi pasukan “peretas etis” di India, yang menghasilkan jutaan dolar untuk melindungi perusahaan asing dan raksasa teknologi global dari serangan siber, namun sebagian besar diabaikan di dalam negeri, keterampilan dan altruisme mereka disalahpahami atau tidak dipercaya.
India menghasilkan lebih banyak peretas etis – mereka yang membobol jaringan komputer untuk mengungkap kelemahan, bukan mengeksploitasinya – dibandingkan negara lain di dunia.
Data terbaru dari BugCrowd, sebuah jaringan peretasan global, menunjukkan bahwa masyarakat India telah mengumpulkan “bug bounty” terbanyak – imbalan atas celah keamanan yang patut mendapat perhatian.
Facebook, yang telah lama memanfaatkan bakat hacker, membayar peneliti India lebih banyak dibandingkan peneliti lainnya pada paruh pertama tahun 2016.
Jumlah orang India melebihi semua pemburu bug lainnya di HackerOne, sebuah registri lain yang berisi sekitar 100.000 peretas. Seorang peretas anonim India – “Geekboy” – menemukan lebih dari 700 kerentanan di perusahaan seperti Yahoo, Uber, dan Rockstar Games.
Kebanyakan dari mereka adalah para “teknisi” muda – para insinyur perangkat lunak yang merupakan salah satu lulusan sektor outsourcing TI di India yang bernilai $154 miliar, yang keterampilannya menjadikan mereka berbakat dalam memecahkan sistem siber.
“Orang-orang yang membuat perangkat lunak dalam banyak kasus juga memahami bagaimana perangkat lunak dapat dirusak,” kata Michiel Prins, salah satu pendiri HackerOne, kepada AFP melalui email.
Namun meski raksasa teknologi dan perusahaan multinasional semakin bergantung pada talenta peretas kelas dunia ini, hanya segelintir perusahaan India yang menjalankan program bug bounty.
Informasi yang diberikan secara sukarela oleh para cyber samaritan ini sering kali diperlakukan dengan acuh tak acuh atau penuh kecurigaan, kata para peretas dan pengamat industri teknologi kepada AFP.
Anand Prakash, seorang insinyur keamanan berusia 23 tahun yang menghasilkan $350.000 dalam bentuk uang bug, mengatakan Facebook segera merespons ketika dia memberi tahu mereka tentang bug yang memungkinkan dia memposting dari akun siapa pun.
“Tetapi di sini, di India, email tersebut sering kali diabaikan,” kata Prakash kepada AFP dari Bangalore, tempat ia menjalankan perusahaan keamanan siber miliknya sendiri, AppSecure India.
“Sering kali saya mengalami situasi di mana saya mendapat email ancaman dari tim hukum yang mengatakan ‘Apa yang Anda lakukan meretas situs web kami?'”
Sajnani, yang telah meretas selusin perusahaan India, mengatakan bahwa dia pernah ditawari hadiah oleh sebuah perusahaan yang luput dari perhatian setelah bug tersebut diperbaiki.
“Tidak mendapatkan pengakuan yang layak, atau perusahaan tidak menunjukkan rasa terima kasih setelah Anda mencoba membantu mereka, itu sangat menjengkelkan,” kata pria berusia 21 tahun itu kepada AFP dari Ahmedabad, tempat dia mencari bug perangkat lunak di sela-sela studi teknik komputernya.
– Sikap berubah –
Keengganan untuk melibatkan peretas dalam negeri telah menjadi bumerang bagi sejumlah perusahaan rintisan di India, sehingga memaksa mereka memikirkan kembali sikap mereka terhadap keamanan siber yang telah lama tertunda.
Pada tahun 2015, saingan Uber, Ola, meluncurkan program bounty yang disebutnya sebagai program bounty “yang pertama di jenisnya” di India setelah peretas berulang kali mengungkap kerentanan dalam aplikasi yang sangat populer tersebut.
Zomato, panduan makanan dan restoran yang beroperasi di 23 negara, mengalami rasa malu bulan ini ketika seorang peretas mencuri 17 juta catatan pengguna dari database yang seharusnya aman.
Peretas “nclay” mengancam akan menjual informasi tersebut kecuali Zomato, yang bernilai ratusan juta dolar, menawarkan pemburu bug lebih dari sekadar sertifikat penghargaan atas kejujuran mereka.
“Jika mereka membayar uang kepada orang-orang baik, ‘nclay’ mungkin akan melaporkan kerentanan tersebut dan menghasilkan uang dengan cara yang benar,” kata Waqas Amir, pendiri situs keamanan siber HackRead, kepada AFP melalui email.
Insiden ini sangat mengecewakan Prakash. Dia meretas database Zomato dua tahun sebelumnya dan mengatakan jika mereka mendengarkannya, “mereka tidak akan pernah diretas pada tahun 2017.”
Hal yang jarang terjadi pada perusahaan teknologi India, Zomato telah setuju untuk meluncurkan program bounty yang “sehat” dan mendorong perusahaan lain untuk bekerja sama dengan peretas etis.
“Kita seharusnya menangani masalah ini dengan lebih serius sejak awal,” kata juru bicara Zomato kepada AFP dalam sebuah pernyataan.
Peretasan Zomato, dan kepanikan seputar serangan cyber global WannaCry bulan ini, terjadi ketika pemerintah India secara agresif menyangkal anggapan bahwa program identifikasi biometrik besar-besaran rentan terhadap kebocoran.
Pemerintah dengan gigih membela program “Aadhaar”, yang menyimpan sidik jari dan pemindaian iris mata lebih dari satu miliar orang India di database nasional, dan menuduh mereka yang menyuarakan keprihatinan atas peretasan ilegal.
Prakash mengatakan sangat penting bagi pemerintah untuk melakukan upaya sendiri melalui program seperti inisiatif “Retas Pentagon”, yang tahun lalu mengundang 1.400 insinyur keamanan untuk membobol benteng siber Departemen Pertahanan AS.
“Pemerintah India jelas memerlukan program kelimpahan untuk membuat sistem mereka lebih aman,” kata Prakash.
Ikuti saluran The New Indian Express di WhatsApp