Uber Perbarui Kebijakan ‘Bug Bounty’, Seperti Apa?

Telset.id, Jakarta – Sebagai salah satu raksasa layanan transportasi online, Uber memiliki berbagai cara untuk mempertahankan kinerja perangkat lunaknya. Diantaranya adalah memberikan imbalan kepada para peneliti atau siapapun yang melaporkan kekurangan dalam perangkat lunaknya alias bug bounty.

Kini Uber akan memperbaharui kebijakannya sebagai bagian dari respon perusahaan terhadap meningkatnya kekhawatiran mengenai cara penanganannya terhadap pelanggaran data pada 2016 lalu. Lalu seperi apa rencana pembaruannya?

Berdasarkan informasi salah seorang eksekutif perusahaan tersebut, seperti dilansir channelnewsasia.com, Senin (30/4/2018), perubahan tersebut antara lain istilah-istilah baru yang lebih jelas mendefinisikan apa yang Uber lakukan dan tidak, dengan mempertimbangkan itikad baik penelitian itu.

“Kami mengklarifikasi perbedaan antara peneliti yang bertindak dengan itikad baik dan orang-orang yang tidak, Kami melakukan pekerjaan yang lebih baik tentang bersikap eksplisit terhadap hal-hal itu, karena penting program-program ini memiliki integritas yang tinggi,” ujar Kepala Petugas Keamanan informasi Uber John Flynn.

Selain itu, Uber juga akan mengubah kebijakannya tidak akan mengejar atau merekomendasikan tindakan hukum terhadap peretas dengan itikad baik yang mengirimkan cacat melalui portal “bug bounty“-nya. Ini akan memberikan dukungan kepada mereka yang mungkin menghadapi litigasi dari orang lain karena penyerahan bug.

Perubahan ini pertama kali dibuat untuk platform bounty bug Uber sejak perusahaan ini November lalu mengungkapkan terjadi pelanggaran data 57 juta kredensial pengguna pada 2016, termasuk nama, nomor telepon dan alamat email.

Setelah ditelusuri, dalang pelanggaran itu adalah seorang pria berusia 20 tahun yang mengaku dibayar oleh Uber untuk menghancurkan data melalui platform hadiah.

Dia tergiur membocorkan data setelah menerima email dari orang yang tidak dikenal yang menawarkan sejumlah uang untuk ditukar dengan data pengguna.

Tentu saja kasus itu menuai berbagai kritik dari sejumlah peneliti keamanan dan memunculkan prasangka Uber berusaha menyembunyikan pelanggaran kriminal.

“Reaksi yang tidak menguntungkan untuk semua ini adalah keraguan yang dilontarkan oleh beberapa orang tentang apakah perusahaan harus menjalankan program-program bug bounty,” tutur Flynn.

Uber telah meminta maaf atas cara menangani pelanggaran tersebut, beberapa bulan setelah Chief Executive baru mereka Dara Khosrowshahi menjabat, pasca pelengseran pendirinya Travis Kalanick. Perusahaan itu juga telah memecat kepala petugas keamanan Joe Sullivan dan seorang deputi, pengacara Craig Clark.

Disamping itu, Uber akan menguji opsi yang memungkinkan para peneliti menyumbangkan hadiah mereka untuk amal. Perusahaan asal AS ini juga akan memperbarui formulir pengirimannya untuk memasukkan pertanyaan apakah informasi konsumen pribadi dapat terekspos melalui kekurangan yang ditemukan.

Baca juga: Bukan Becak, Uber Sediakan Layanan Sepeda Online

Pastinya perubahan ini diharapkan bisa lebih cepat memicu peninjauan secara internal apakah regulator perlu diberitahu, untuk menghindari kesalahan berulang terkait pelanggaran tersebut.

Undang-undang privasi data Eropa yang berlaku bulan depan akan mengharuskan perusahaan untuk mengungkapkan apakah data pengguna telah dikompromikan dalam waktu 72 jam.

CEO HackerOne Marten Mickos, penyelenggara program bounty bug Uber dan memberikan masukan tentang pembaruannya, menyambut baik perubahan itu namun mengatakan bahwa ini tidak akan menjamin Uber akan menghindari kesalahan sebelumnya.

“Ini bukan hal utama yang hilang pada 2016. Kegagalan utama pada saat itu tidak memberi tahu pihak berwenang,” tukas Mickos. [WS/HBS]

Sumber:  Channelnewsasia

LEAVE A REPLY

Please enter your comment!
Please enter your name here