Responsible Disclosure
Responsible disclosure adalah praktik etis melaporkan kerentanan keamanan kepada pemilik sistem sebelum mempublikasikannya, memberi waktu untuk perbaikan.
Prinsip Dasar
- Laporkan dulu — selalu hubungi vendor/perusahaan sebelum publik
- Beri waktu yang wajar — standar industri adalah 90 hari (Google Project Zero)
- Jaga kerahasiaan — jangan share detail bug sebelum fixed
- Minimal impact — jangan eksploitasi lebih dari yang diperlukan untuk PoC
- Hormati scope — jangan test di luar scope yang diizinkan
Rules of Engagement
DILARANG KERAS:
- Mengakses, mengunduh, atau menyimpan data user nyata
- Memodifikasi atau menghapus data yang bukan milikmu
- Testing di luar scope yang ditentukan
- Social engineering terhadap karyawan perusahaan
- Denial of Service (DoS/DDoS)
- Mengancam perusahaan atau meminta tebusan
- Menjual bug ke pihak ketiga selain program resmi
Aspek Hukum di Indonesia
Bug hunting tanpa izin bisa dikenai UU ITE:
| Pasal | Larangan | Ancaman |
|---|
| Pasal 30 | Akses sistem tanpa izin | Penjara 6–8 tahun |
| Pasal 32 | Mengubah/menghapus data | Penjara 8–10 tahun |
| Pasal 33 | Mengganggu sistem | Penjara 8–10 tahun |
Selalu pastikan: Ada program resmi (bug bounty atau VDP) yang mengizinkan pengujian. Screenshot atau simpan bukti bahwa kamu melakukan pengujian dalam scope yang diizinkan. Jangan pernah test sistem pemerintah atau perbankan Indonesia tanpa izin eksplisit.
Jika Tidak Ada Bug Bounty Program
# Cari kontak security:
security@company.com
/.well-known/security.txt
https://company.com/security
# Template email laporan
Subject: Security Vulnerability Report — [Nama Perusahaan]
Yth. Tim Keamanan,
Saya menemukan kerentanan keamanan pada sistem Anda dan ingin
melaporkannya secara bertanggung jawab.
[Deskripsi singkat bug]
Saya bersedia memberikan detail teknis lengkap. Mohon konfirmasi
penerimaan laporan ini.
Hormat saya,
[Nama]
// CEK PEMAHAMAN
Berapa waktu standar industri yang diberikan vendor untuk memperbaiki bug sebelum peneliti boleh mempublikasikannya?
A7 hari
B30 hari
C90 hari
D1 tahun