Terlepas dari upaya terbaik organisasi untuk menghasilkan layanan yang berjalan dengan sempurna dan aman, bug perangkat lunak dapat dan memang terjadi, dan beberapa lebih serius daripada yang lain.


Terkadang bug ini dapat tidak terdeteksi bahkan oleh tim keamanan paling berpengalaman, berpotensi menghasilkan produk yang membahayakan keamanan digital penggunanya dan membuat mereka terkena serangan cyber. Banyak perusahaan membuat program karunia bug untuk meminta peneliti keamanan siber untuk membantu mereka menemukan kerentanan yang mungkin tersembunyi di dalam sistem mereka..

Pada dasarnya, peneliti meretas (secara etis) ke dalam sistem vendor untuk mencoba mengeksploitasi kerentanan apa pun yang mungkin ada. Jika peneliti menemukan kerentanan yang menimbulkan risiko yang cukup signifikan, peneliti dapat mengumpulkan hadiah bug senilai ratusan dolar, atau bahkan ratusan ribu dolar, tergantung pada tingkat keparahan bug yang ditemukan. Pemburu hadiah bug sering bertindak sebagai pahlawan tanpa tanda jasa cybersecurity yang menjaga akuntabilitas organisasi untuk memastikan keamanan digital konsumen.

Namun, apa yang terjadi ketika sebuah organisasi berselisih dengan peneliti cybersecurity mengenai tingkat keparahan kerentanan yang ditemukan oleh peneliti? Apa yang terjadi ketika suatu organisasi berusaha untuk menghindari pertanggungjawaban dengan melarang peneliti mengungkapkan secara terbuka temuannya, atau hanya setuju untuk membayar bug bug dengan syarat bahwa peneliti tetap diam di depan umum tentang kerentanan? Ketika ini terjadi, keamanan digital konsumen dan privasi pribadi dapat terancam.

Program karunia bug sangat penting untuk menjaga sistem yang menjalankan perangkat lunak dan aplikasi yang digunakan konsumen setiap hari agar aman dan berfungsi dengan baik. Mereka mendorong para peneliti keamanan siber dan peretas etis untuk maju dan menemukan kerentanan. Cukup beralasan bahwa mewajibkan pemburu hadiah bug untuk menandatangani perjanjian non-pengungkapan (NDA) juga merupakan cara yang penting dan efektif untuk mencegah setiap kerentanan potensial yang berpotensi dari diekspos secara publik dan dieksploitasi sebelum mereka ditambal.

Yang mengatakan, ketentuan NDA yang mencegah seorang peneliti dari pengungkapan kerentanan yang terbuka dapat, misalnya, memberikan sedikit insentif bagi perusahaan untuk mengatasi kesalahan dengan benar, membuat pengguna terekspos ke berbagai ancaman cyber..

Peneliti keamanan dan pemburu hadiah bug melakukan pekerjaan besar untuk membuat perusahaan bertanggung jawab untuk menjaga penggunanya tetap aman. Tetapi ketika perusahaan terlibat dalam taktik NDA yang dipertanyakan dengan peneliti keamanan untuk mengimbangi akuntabilitas itu, keamanan pengguna dapat ditempatkan pada risiko besar.

Mengingat gelombang baru-baru ini pelanggaran data profil tinggi dan pengawasan keamanan besar yang melibatkan beberapa nama terbesar di bidang teknologi, publik berhak atas akuntabilitas yang jauh lebih besar dari perusahaan yang mereka percayai dengan informasi mereka. Pembuat undang-undang di seluruh dunia telah mulai menindak industri dan telah merancang undang-undang yang bertujuan untuk melindungi konsumen sambil meminta pertanggungjawaban perusahaan teknologi atas cara mereka menangani data sensitif. Eksekutif industri papan atas seperti Facebook, Mark Zuckerberg, Microsoft, Bill Gates, dan Tim Cook dari Apple, semuanya mengakui perlunya perlindungan privasi konsumen yang lebih baik serta rasa akuntabilitas yang lebih besar bagi perusahaan. Pada saat yang sama, konsumen menjadi semakin tidak percaya pada bagaimana perusahaan mengelola data pribadi mereka.

Mempertimbangkan tren ini, penanganan Zoom atas pengungkapan tanggung jawab peneliti cybersecurity terhadap beberapa kerentanan serius dalam aplikasi konferensi videonya membingungkan. Pada bulan Maret, peneliti keamanan dunia Jonathan Leitschuh menghubungi Zoom untuk memberi tahu perusahaan tentang tiga kerentanan keamanan utama yang ada dalam aplikasi konferensi video untuk komputer Mac. Selain bug yang memungkinkan penyerang jahat untuk meluncurkan serangan penolakan layanan (DOS) pada mesin pengguna, dan bug yang meninggalkan server web lokal yang diinstal pada Mac pengguna bahkan setelah menghapus instalasi aplikasi Zoom, Leitschuh juga menemukan sebuah kerentanan sangat mengkhawatirkan yang memungkinkan entitas pihak jahat berbahaya untuk jarak jauh dan secara otomatis mengaktifkan mikrofon dan kamera pengguna Mac yang tidak curiga.

Menurut posting blog Leitschuh, Zoom terus-menerus mengecilkan keparahan kerentanan selama pembicaraan yang sedang berlangsung. Leitschuh memberi Zoom jendela 90 hari standar industri untuk menyelesaikan masalah sebelum melanjutkan dengan pengungkapan publik. Dia bahkan memberikan Zoom dengan apa yang disebutnya solusi "perbaikan cepat" untuk sementara menambal kerentanan kamera sementara perusahaan selesai bekerja pada peluncuran perbaikan permanen. Selama pertemuan sebelum tenggat waktu pengungkapan publik 90 hari, Zoom memberi Leitschuh usulan perbaikannya. Namun, peneliti dengan cepat menunjukkan bahwa solusi yang diusulkan tidak memadai dan dapat dengan mudah dilewati melalui berbagai cara.

Pada akhir tenggat waktu pengungkapan publik 90 hari, Zoom menerapkan solusi "perbaikan cepat" sementara. Leitschuh menulis dalam posting blognya:

"Pada akhirnya, Zoom gagal dengan cepat mengkonfirmasikan bahwa kerentanan yang dilaporkan benar-benar ada dan mereka gagal memperbaiki masalah yang disampaikan kepada pelanggan secara tepat waktu. Suatu organisasi dari profil ini dan dengan basis pengguna yang sedemikian besar seharusnya lebih proaktif dalam melindungi para penggunanya dari serangan."

Dalam tanggapan awalnya terhadap pengungkapan publik di blog perusahaan, Zoom menolak untuk mengakui tingkat keparahan kerentanan video dan "pada akhirnya ... memutuskan untuk tidak mengubah fungsi aplikasi." Meskipun (hanya setelah menerima reaksi publik yang signifikan setelah pengungkapan tersebut) Zoom memang setuju untuk sepenuhnya menghapus server web lokal yang memungkinkan eksploit, tanggapan awal perusahaan bersama dengan akun Leitschuh tentang bagaimana Zoom memilih untuk mengatasi pengungkapan bertanggung jawabnya mengungkapkan bahwa Zoom tidak menganggap serius masalah ini, dan memiliki sedikit minat dalam menyelesaikan dengan benar Itu.

Diam

Zoom telah berusaha untuk membeli keheningan Leitschuh tentang masalah ini dengan memungkinkannya untuk mendapatkan manfaat dari program karunia bug perusahaan hanya dengan syarat bahwa ia menandatangani NDA yang terlalu ketat. Leitschuh menolak tawaran itu. Zoom berpendapat bahwa peneliti ditawari karunia keuangan tetapi menolaknya karena “ketentuan yang tidak diungkapkan”. Apa yang diabaikan oleh Zoom adalah bahwa istilah spesifik yang dimaksud Leitschuh akan dilarang mengungkapkan kerentanan bahkan setelah mereka ditambal dengan benar. Ini akan memberi Zoom nol insentif untuk menambal kerentanan yang perusahaan anggap tidak signifikan.

NDA adalah praktik umum dalam program bug bug, tetapi menuntut keheningan permanen dari peneliti sama dengan membayar uang diam dan pada akhirnya tidak menguntungkan peneliti, juga tidak menguntungkan pengguna, atau masyarakat pada umumnya. Peran NDA harus memberi perusahaan waktu yang cukup untuk mengatasi dan memperbaiki kerentanan sebelum dibuka ke publik dan berpotensi dieksploitasi oleh penjahat cyber. Perusahaan memiliki ekspektasi yang wajar akan pengungkapan sementara bekerja untuk memperbaiki kerentanan, tetapi terutama untuk kepentingan pengguna, bukan terutama untuk menyelamatkan muka di pengadilan opini publik. Para peneliti, di sisi lain, memiliki harapan yang masuk akal untuk imbalan uang, serta pengakuan publik atas upaya mereka. Pengguna memiliki harapan yang masuk akal bahwa perusahaan yang produknya mereka gunakan melakukan segala yang mereka bisa untuk mengamankan privasi mereka. Akhirnya, publik memiliki hak yang wajar untuk mengetahui kerentanan keamanan apa yang ada dan apa yang dilakukan untuk melindungi konsumen dari ancaman dunia maya, dan apa yang dapat dilakukan konsumen untuk melindungi diri mereka sendiri..

Prioritas yang Bertentangan

Akan sulit bagi Zoom untuk menangani situasi ini lebih buruk daripada sebelumnya. Perusahaan sangat fokus pada menciptakan pengalaman pengguna yang sempurna sehingga benar-benar kehilangan pandangan tentang pentingnya melindungi privasi pengguna. “Video adalah pusat dari pengalaman Zoom. Platform video-pertama kami adalah manfaat utama bagi pengguna kami di seluruh dunia, dan pelanggan kami telah memberi tahu kami bahwa mereka memilih Zoom untuk pengalaman komunikasi video tanpa gesekan kami, ”kata perusahaan itu dalam tanggapannya. Namun Zoom terpaksa memasang server web lokal di latar belakang pada komputer Mac yang secara efektif memintas fitur keamanan di browser web Safari untuk memfasilitasi pengalaman video “tanpa gesekan” ini bagi penggunanya. Fitur keamanan Safari yang dipermasalahkan memerlukan konfirmasi pengguna sebelum meluncurkan aplikasi pada Mac. Solusi zoom untuk ini adalah dengan memotongnya dengan sengaja dan membahayakan privasi penggunanya untuk menyelamatkan mereka satu atau dua kali klik.

Hanya setelah reaksi publik yang diterima setelah pengungkapan itu perusahaan melakukan tindakan yang berarti. Tanggapan awal perusahaan menyarankan bahwa mereka tidak berniat mengubah fungsionalitas aplikasi bahkan mengingat kerentanan signifikan yang dimiliki oleh aplikasi tersebut. Tampaknya perusahaan bersedia memprioritaskan pengalaman pengguna daripada keamanan pengguna. Meskipun pengalaman pengguna yang lancar tidak diragukan lagi bermanfaat untuk aplikasi online apa pun, itu pasti tidak harus mengorbankan keamanan dan privasi.

Untuk kredit perusahaan, pendiri dan CEO Eric S. Yuan kemudian mengakui bahwa Zoom menangani situasi dengan buruk dan berkomitmen untuk melakukan yang lebih baik ke depan. Yuan menyatakan dalam sebuah posting blog bahwa “kami salah menilai situasi dan tidak merespon dengan cukup cepat - dan itu ada pada kami. Kami mengambil kepemilikan penuh dan kami telah belajar banyak. Apa yang dapat saya katakan adalah bahwa kami memperlakukan keamanan pengguna dengan sangat serius dan kami dengan sepenuh hati berkomitmen untuk melakukan yang benar oleh pengguna kami, "menambahkan juga bahwa" proses peningkatan kami saat ini jelas tidak cukup baik dalam hal ini. Kami telah mengambil langkah-langkah untuk meningkatkan proses kami untuk menerima, meningkatkan, dan menutup loop pada semua masalah terkait keamanan di masa depan. "

"kami salah menilai situasi dan tidak merespons dengan cukup cepat - dan itu ada pada kami.

Namun pada akhirnya, kenyataan yang tetap ada jika peneliti menyetujui ketentuan NDA yang disampaikan kepadanya oleh Zoom dan dilarang mengungkapkan temuannya, kami kemungkinan besar tidak pernah mendengar apa pun tentang kerentanan. Lebih buruk lagi, perusahaan itu mungkin tidak pernah bisa memperbaiki masalah ini, membuat jutaan pengguna rentan terhadap pelanggaran privasi yang serius.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me