Saya menemukan sebuah kerentanan. Mereka mencari pengacara

 (dixken.de)
2 poin oleh GN⁺ 2026-02-21 | 1 komentar | Bagikan ke WhatsApp
  • Penulis, seorang instruktur selam sekaligus platform engineer, menemukan kerentanan keamanan serius di portal anggota perusahaan asuransi selam
  • Portal tersebut menggunakan ID pengguna berurutan dan kata sandi default yang sama, sehingga siapa pun bisa mengakses data pribadi anggota lain dengan kombinasi sederhana
  • Masalah ini dilaporkan secara bersamaan ke CSIRT Malta dan institusi terkait, tetapi alih-alih berterima kasih, institusi tersebut memperingatkan kemungkinan tanggung jawab pidana melalui kuasa hukum
  • Penulis menolak permintaan NDA (perjanjian kerahasiaan), lalu mengusulkan pernyataan revisi yang hanya mengonfirmasi penghapusan data, namun institusi itu kembali mengancam dengan alasan potensi pencemaran nama baik
  • Kasus ini menunjukkan pentingnya prosedur pengungkapan kerentanan yang bertanggung jawab serta kenyataan bahwa ancaman hukum menghambat perlindungan bagi peneliti

Menemukan kerentanan

  • Saat dalam perjalanan selam ke Pulau Cocos, Kosta Rika, penulis menemukan cacat struktural pada portal anggota perusahaan asuransi selam
    • Ketika instruktur mendaftarkan siswa, sistem membuat ID numerik berurutan dan kata sandi default yang tidak diubah
    • Banyak pengguna tidak mengganti kata sandi, sehingga seluruh data pribadi anggota lain dapat diakses (nama, alamat, tanggal lahir, kontak, dll.)
  • Tidak ada langkah keamanan dasar seperti pemaksaan ganti kata sandi, pembatasan login, MFA
  • Beberapa akun juga berisi informasi anak di bawah umur (14 tahun)
  • Penulis memverifikasi masalah ini dengan akses seminimal mungkin lalu segera berhenti, dan seluruh data yang dikumpulkan dihapus permanen

Verifikasi dan pembuktian

  • Awalnya mencoba dengan Python requests, tetapi karena struktur sesi rumit, verifikasi dilakukan dengan otomatisasi browser menggunakan Selenium
    • Hanya dengan memasukkan ID pengguna dan kata sandi default, login berhasil
    • Skrip otomatisasi dipublikasikan sebagai contoh kode nonfungsional, dan seluruh pengenal nyata sudah dihapus
  • Contoh output mencakup seluruh data profil seperti nama, email, alamat, tanggal lahir, dan lainnya
  • Dalam proses ini juga dikonfirmasi bahwa beberapa akun anak di bawah umur terekspos dengan cara yang sama

Prosedur pengungkapan kerentanan

  • Pada 28 April 2025, kerentanan dilaporkan secara resmi dengan masa tenggang perbaikan 30 hari
  • Email dikirim secara bersamaan ke CSIRT Malta dan institusi terkait
    • Laporan mencakup ringkasan masalah, kemungkinan pelanggaran GDPR, tangkapan layar, dan tautan PoC terenkripsi
    • Meminta konfirmasi penerimaan dalam 7 hari dan perbaikan dalam 30 hari
  • Ini adalah prosedur standar yang sesuai dengan kebijakan nasional pengungkapan kerentanan (NCVDP)

Respons institusi

  • Dua hari kemudian, balasan datang bukan dari tim IT melainkan dari pengacara perlindungan data (kantor hukum DPO)
    • Mereka menyebut reset kata sandi dan penerapan 2FA, tetapi mempermasalahkan fakta bahwa otoritas pemerintah diberi tahu lebih dulu
    • Mereka memperingatkan bahwa tindakan penulis dapat menjadi tindak pidana menurut hukum pidana Malta dan bisa menimbulkan tanggung jawab hukum
  • Institusi itu meminta penandatanganan surat pernyataan kerahasiaan, serta meminta salinan paspor dan batas waktu penandatanganan pada hari yang sama
    • Dokumen itu memuat klausul “menjaga kerahasiaan isi pernyataan ini”, yang pada praktiknya berbentuk NDA
  • Setelah itu, permintaan tanda tangan berulang terus dikirim, dengan subjek seperti “pengingat ramah” dan “pengingat mendesak”

Penolakan dan sanggahan dari peneliti

  • Penulis menolak menandatangani klausul kerahasiaan, dan sebagai gantinya mengusulkan pernyataan revisi yang hanya mencakup konfirmasi penghapusan data
    • Penulis menegaskan bahwa pemberitahuan ke CSIRT Malta adalah bagian dari prosedur resmi, dan analisis setelah pengungkapan merupakan praktik standar di industri keamanan
  • Institusi tersebut mengutip Pasal 337E KUHP Malta (computer misuse) dan memperingatkan bahwa tindakan yang dilakukan di luar negeri pun dapat dianggap sebagai kejahatan di Malta
  • Mereka juga memberi tahu bahwa jika nama institusi disebut di blog atau konferensi, ada kemungkinan gugatan pencemaran nama baik dan tuntutan ganti rugi
  • Saat ini kerentanan sudah diperbaiki, dan reset kata sandi default serta penerapan 2FA sedang berlangsung
  • Namun, belum dapat dipastikan apakah korban telah diberi tahu sesuai Pasal 33 dan 34 GDPR

Lempar tanggung jawab dan pelanggaran GDPR

  • Institusi itu mengklaim bahwa “mengganti kata sandi adalah tanggung jawab pengguna”
  • Namun, menurut Pasal 5(1)(f) dan Pasal 24(1) GDPR, pengendali data harus menerapkan langkah teknis dan administratif yang memadai
  • Kata sandi default yang sama dan ID berurutan jelas merupakan langkah keamanan yang tidak memadai

Pola yang terus berulang

  • Ketika peneliti keamanan mengungkapkan kerentanan secara bertanggung jawab, masih ada efek menciutkan (Chilling Effect) berupa ancaman hukum
  • Respons hukum justru memperburuk reputasi, dan masalahnya bukan pada kerentanannya, melainkan cara organisasi merespons

Prosedur respons yang benar

  • Menerima laporan dan memperbaiki masalah
  • Menyampaikan terima kasih kepada peneliti
  • Menetapkan kebijakan CVD (Coordinated Vulnerability Disclosure)
  • Memberi tahu pengguna yang terdampak, terutama melindungi anak di bawah umur
  • Tidak memaksa diam dengan NDA

Saran untuk organisasi dan peneliti

  • Organisasi harus menyiapkan prosedur pengungkapan yang jelas seperti security.txt, dan berterima kasih kepada peneliti
  • Peneliti harus melibatkan CSIRT nasional, menyimpan seluruh catatan, dan menolak kerahasiaan setelah data dihapus
  • Arahan NIS2 mendorong pengungkapan kerentanan yang bertanggung jawab di Uni Eropa
  • Bahkan pada 2026 pun, realitas bahwa laporan kerentanan sederhana dapat berujung pada ancaman hukum masih ada

Bacaan terkait

1 komentar

 
GN⁺ 2026-02-21
Komentar Hacker News

  • Ada juga kasus orang lain yang menemukan user ID yang meningkat secara monoton lalu mengujinya dan akhirnya masuk penjara
    Begitu menguji dengan cara seperti itu, muncul risiko pelanggaran CFAA
    Jika sejak awal sudah tahu ID tersebut monoton dan ada kata sandi default yang disetel, seharusnya kerentanan itu langsung dilaporkan saat itu juga
    Begitu pengujian dijalankan, itu bisa dianggap sudah melanggar hukum
    Menulis postingan ini sekarang pada dasarnya seperti pengakuan, jadi sebaiknya menyewa pengacara dan mempelajari hukum terkait

  • Saya bukan ahli hukum, tapi punya tiga pemikiran

    1. Jika prosedur pengungkapan yang sah terlalu sulit, pada akhirnya kerentanan hanya akan diketahui lewat kriminal
    2. Di industri lain, tidak masuk akal bila arsitek yang menemukan cacat bangunan justru digugat. Namun keamanan siber memang berbeda karena mengetahui cacatnya saja bisa meningkatkan risiko
    3. Audit oleh orang yang kebetulan lewat secara acak itu terlalu tidak stabil. Jika sebuah situs meminta PII (informasi identitas pribadi) saya, saya seharusnya punya hak untuk menuntut keamanan data itu
      Tempat seperti perusahaan asuransi harus diwajibkan oleh hukum untuk menjalani audit siber, white-hat hacker harus dilindungi, dan pengguna harus bisa mengajukan gugatan class action
      Dengan begitu, kerentanan dasar akan hilang, dan software engineer akan menjadi pilihan yang lebih ekonomis daripada pengacara
    • Di industri lain ada sistem insinyur profesional yang memikul tanggung jawab hukum
      Saya penasaran apakah bidang CS juga akan bergerak ke arah ini di era AI
      Insinyur profesional menangani persetujuan desain dan inspeksi, serta berperan penting dalam menjamin keselamatan
      Karena itu wewenang dan tanggung jawabnya besar, dan kompensasinya juga tinggi
    • Di industri lain, perancang memiliki asuransi dan lisensi
      Saya tidak ingin menghambat kontribusi open source dari developer pemula, tetapi saya rasa situs yang menangani data pribadi skala besar atau uang harus ditandatangani oleh software engineer tersertifikasi
      Dengan begitu akan ada kekuatan untuk menahan tuntutan berlebihan dari manajemen
      Tentu saja, melihat kasus Boeing atau Volkswagen, ini juga bukan solusi sempurna
    • Di beberapa negara, fitnah bisa terjadi meski pernyataannya benar
      Artinya, melaporkan ke otoritas dan mempublikasikannya ke media adalah dua hal yang sama sekali berbeda
      Terutama di tempat seperti Malta, di mana kejahatan terorganisasi dan korupsi sangat parah, orang yang mengungkap hal seperti ini bahkan bisa mengalami ‘kecelakaan’

  • Saya memakai alamat email yang berbeda untuk tiap layanan
    Sekitar 15 tahun lalu saya mulai menerima spam di alamat diversalertnetwork
    Ketika saya memberi tahu DAN tentang pelanggaran itu, saya hanya menerima email yang menyarankan untuk mengganti kata sandi
    Saya merasa beruntung karena tidak sampai menghadapi tuntutan pidana

    • Itu bisa jadi hasil peretasan, atau perusahaan menjual data ke pihak ketiga
    • Saya juga punya pengalaman serupa. Saya mulai menerima spam di email khusus maskapai Portugal, dan perusahaan sama sekali tidak merespons

  • Fakta bahwa penulis takut menyebut nama organisasi menunjukkan bahwa ancaman hukum itu efektif

    • Atau, di komunitas penyelam, ungkapan “perusahaan asuransi penyelam yang berkantor pusat di Malta” mungkin sudah cukup untuk menyiratkan DAN Europe
    • Dari petunjuk dalam tulisan itu, di antara perusahaan asuransi selam internasional, satu-satunya yang terdaftar di Malta adalah DAN Europe, jadi tampaknya hampir pasti
    • Tentu saja, kemungkinan bahwa dia menjual informasi yang diperolehnya ke black-hat juga tidak bisa sepenuhnya dikesampingkan

  • Tentang permintaan “tandatangani surat konfirmasi penghapusan data”, saya bertanya-tanya kenapa dia menandatanganinya
    Perusahaan tampaknya lebih menginginkan kontrol daripada kerja sama

    • Namun, jika Anda berhasil membuat pihak lawan menyetujui syarat Anda, itu bisa melumpuhkan strategi kontrol mereka dan memberinya kekuatan hukum yang mengikat

  • Pola di mana peneliti keamanan melaporkan kerentanan lalu menghadapi ancaman hukum sudah berulang selama puluhan tahun
    Pemerintah dan perusahaan berbicara tentang pentingnya keamanan siber, tetapi dalam praktiknya mereka bersikap bermusuhan terhadap peneliti
    Diperlukan legislasi untuk menghentikan respons tidak adil seperti ini
    Contoh kasus terkait bisa dilihat di tautan ini

  • Ada yang bertanya-tanya apakah target insiden ini adalah DAN Europe dan anak perusahaannya IDA Insurance Limited

    • Komentar lain sudah sampai pada kesimpulan itu

  • Di Jerman, menjalankan skrip seperti ini untuk mengakses data orang lain adalah ilegal
    Ini seperti melihat pintu mobil orang lain tidak terkunci lalu masuk dan menyalakan mesinnya
    Untuk penjelasan hukum terkait, lihat artikel ini

    • Kalau begitu hukumnya yang harus diubah. Tingkat pengabaian keamanan seperti ini tidak akan pernah membaik tanpa pelapor beritikad baik atau kebocoran besar
    • Saya juga setuju. Kita harus tahu di mana harus berhenti
      Mengambil screenshot dan melaporkan dalam batas penggunaan normal situs masih bisa diterima, tetapi mengumpulkan data dengan skrip Python sudah melewati batas
      Itu seperti melihat pintu bank terbuka lalu masuk ke dalam alih-alih menelepon polisi
    • Semoga para kriminal tidak mengeksploitasi celah itu

  • Tahun lalu saya menemukan kerentanan di sistem tiket sebuah acara besar
    Tautan tiket yang dikirim lewat email ternyata berupa encoding base64 dari nomor pesanan yang berurutan
    Artinya, tiket orang lain juga bisa dengan mudah diunduh
    Saya mengirim email ke penyelenggara dan perusahaan pengembang, tetapi tidak ada respons, dan sampai sekarang masih tetap terbuka
    Saya akan melihat saat acara tahun ini apakah itu sudah diperbaiki

  • Jika user ID berurutan dan kata sandi default-nya sama, kerentanan sebenarnya adalah “asumsi bahwa petugas keamanan itu ada”
    Belakangan ini, ‘pengungkapan yang bertanggung jawab’ pada akhirnya cuma berarti memberi perusahaan waktu untuk menyewa pengacara