Pingintau.id, SINGAPURA -Platform eCommerce terkemuka di Asia Tenggara Lazada telah menyelesaikan hadiah bug langsung terbarunya dengan YesWeHack, Platform Kebijakan Pengungkapan Bug dan Kerentanan (VDP) global terkemuka. Program hadiah bug langsung dua hari, yang diadakan di Hack In The Box Security Conference (HITBSecCONF 2022), menghasilkan 115 laporan kerentanan yang dikirimkan oleh beberapa lusin peneliti yang hadir di acara tersebut, termasuk beberapa peneliti keamanan terbaik di Dunia.
Setelah menjalankan program Bug Bounty selama dua tahun dengan YesWeHack, Lazada meningkatkan program ini ke tingkat berikutnya tahun ini selama HITBSecCONF 2022. Acara ini memungkinkan Lazada untuk menguji aplikasi mereka selama periode waktu tertentu, sambil dapat bertemu dengan para peneliti untuk bertukar penemuan—sehingga memberi Lazada wawasan yang mendalam dan eksklusif tentang kerentanan yang ditemukan.
Lazada ingin menggunakan acara langsung ini sebagai peluang untuk mencapai keamanan yang mendalam. Untuk mengaktifkan ini, perusahaan secara sukarela menonaktifkan sejumlah mekanisme keamanan untuk peneliti yang berpartisipasi dan hanya untuk periode acara, yang memungkinkan mereka untuk menguji sistem dan aplikasi secara ekstensif. Misalnya, para peneliti dapat melewati Firewall Aplikasi Web (WAF) sepanjang acara—memungkinkan mereka untuk meretas situs dan layanan platform eCommerce secara langsung. Lazada telah memilih untuk menonaktifkan WAF untuk para pemburu, karena fakta bahwa meskipun mereka dapat memblokir sebagian besar serangan, mereka tidak sempurna. Selain WAF, Lazada juga menonaktifkan solusi keamanan lain yang biasanya digunakan sebagai lini pertahanan pertama, untuk menawarkan kesempatan kepada peretas untuk menguji aplikasi mereka secara lebih mendalam.
“Mencapai program langsung dalam skala ini menunjukkan komitmen Lazada terhadap keamanan dan sikap progresif terhadap karunia bug. Dengan terlibat dengan komunitas yang lebih luas, raksasa eCommerce ini menempatkan tingkat kepercayaan yang belum pernah terjadi sebelumnya pada peretas etis untuk lebih memperkuat keamanan, transparansi, serta sebagai privasi dan perlindungan data. Kami senang dapat berkontribusi pada kolaborasi sukses lainnya dengan Lazada,” kata Kevin Gallerin, CEO APAC, YesWeHack.
“Mengamankan data pelanggan dan melindunginya dari insiden di masa depan adalah hal terpenting di Lazada. Memiliki beberapa peneliti keamanan terbaik di dunia di ruangan yang sama dengan kami adalah kesempatan luar biasa untuk belajar dan bertukar—terutama untuk tim merah kami, yang melakukan serangan yang disengaja pada sistem kami setiap hari untuk mengidentifikasi dan memperbaiki kerentanan,” kata Bruno Demarche, yang memimpin Red Team & Security Testing Team di Lazada Group.
“Program hadiah bug langsung adalah pengalaman yang berharga bagi Lazada dan YesWeHack. Tim telah mampu mengungkap hasil berkualitas, yang telah memberi kami ide tentang bagaimana kami dapat meningkatkan proses pengujian internal kami untuk aplikasi dan layanan kami untuk perlindungan yang lebih baik. Pelanggan dan mitra Lazada,” kata Yuezhong Bao, Head of Cybersecurity, Lazada Group.
Kemitraan Lazada dengan YesWeHack dimulai pada Januari 2020 dengan program hadiah bug pribadi selama 18 bulan yang sukses. Para mitra kemudian terus memperluas cakupan kolaborasi mereka, dan Lazada membuka programnya untuk umum pada tahun 2021, dengan hadiah hingga US$10.000 per bounty. Sejak itu, perusahaan telah bekerja dengan lebih dari 45.000 peretas etis untuk mendeteksi kelemahan dalam aplikasi dan sistem mereka untuk mencapai keamanan dan perlindungan maksimum atas platform mereka.
Kolaborasi dengan Lazada juga memungkinkan YesWeHack untuk lebih memajukan komunitas pakar keamanan siber dan memposisikan perusahaan sebagai pemain hadiah bug terkemuka di Asia Pasifik. Sejak 2019, YesWeHack telah melayani lebih dari 60 klien dari kantor pusatnya di Asia Pasifik di Singapura, termasuk BFSI besar, unicorn teknologi, dan badan pemerintah. Dengan meningkatnya permintaan pasar yang terlihat untuk model keamanan crowdsourced, 40 persen peneliti keamanan YesWeHack berbasis di Asia, dengan 30 persen kliennya berasal dari Australia, Cina, Indonesia, Malaysia, dan Singapura.[***]
Tagar: #YesWeHack
