AMD Tawarkan Hadiah Ratusan Juta di Program Bug Bounty Eksklusif

Bug adalah kesalahan dalam perangkat lunak atau keras yang dapat menyebabkan error dan celah keamanan, merugikan pengguna dan reputasi perusahaan serta menimbulkan kerugian finansial. Meski ada upaya pengujian untuk menghilangkan bug, seringkali masih ada yang lolos, menjadi tantangan mengingat kompleksitas sistem dan kebutuhan akan respons cepat terhadap teknologi baru. Untuk mengatasi masalah ini, banyak perusahaan meluncurkan program bug bounty yang mengajak publik untuk menemukan bug dengan imbalan. Pendekatan ini memanfaatkan keterampilan peneliti keamanan eksternal dan mendorong kolaborasi, sehingga perusahaan bisa lebih cepat dalam identifikasi bug.

Baru-baru ini, pabrikan CPU AMD juga ikut serta dalam program bug bounty dengan bekerja sama dengan penyedia keamanan cloud, Intigriti. Program ini menawarkan hadiah menarik, dengan jumlah maksimum hampir mencapai Rp 500 juta. Inisiatif ini tidak hanya menunjukkan komitmen AMD terhadap keamanan produk mereka tetapi juga menggambarkan bagaimana perusahaan besar semakin membuka diri terhadap kolaborasi dengan komunitas keamanan global. Dengan menawarkan hadiah yang signifikan, AMD berharap dapat menarik perhatian para peneliti dan hacker etis untuk berkontribusi dalam menjaga keamanan sistem mereka.

Biasanya, pabrikan chip melakukan pencarian bug dalam format privat yang melibatkan sejumlah kecil peneliti keamanan. Namun, berbeda dengan praktik tersebut, program bug bounty dari AMD kali ini bersifat terbuka untuk umum, memungkinkan siapa saja untuk berpartisipasi. Dengan pendekatan terbuka ini, AMD tidak hanya berhasil meningkatkan jumlah mata yang mengawasi produk mereka, tetapi juga mendorong inklusivitas dan inovasi dalam menemukan solusi atas masalah keamanan yang kompleks. Hal ini bisa membuka peluang bagi individu atau kelompok yang sebelumnya tidak memiliki akses untuk mendapatkan pengakuan dan imbalan atas keahlian mereka.

AMD telah merinci mekanisme penghargaan, di mana para peserta program berkesempatan mendapatkan imbalan uang tunai. Besaran hadiah ini bervariasi tergantung pada tingkat keparahan bug yang berhasil ditemukan, memberikan motivasi ekstra bagi para peneliti untuk melakukan eksplorasi mendalam. Dengan adanya struktur imbalan yang jelas, peserta diharapkan dapat lebih fokus dalam mencari dan mengeksplorasi potensi risiko dan kerentanan yang mungkin ada. Hal ini menandakan perubahan paradigma dalam bagaimana perusahaan mengelola dan memitigasi risiko keamanan, dengan mengandalkan kekuatan inovasi kolaboratif dari komunitas keamanan siber.

Berikut ini daftar kriteria pemberian hadiah yang bakal dibagikan oleh AMD bagi yang menemukan bug di produknya.

• Bug untuk perangkat lunak (software) memberikan hadiah sebesar 500 dollar AS (sekitar Rp 8 juta) untuk penemuan bug tingkat keparahan rendah, 1.500 dollar AS (sekitar Rp 24 juta) untuk tingkat menengah, 5.000 dollar AS (Rp 81 juta) untuk tingkat tinggi, serta 10.000 dollar AS (sekitar Rp 162 juta) untuk tingkat kritis.
• Bug untuk firmware akan mendapatkan bayaran: 1.000 dollar AS (Rp 16 juta) untuk tingkat keparahan rendah, 3.000 dollar AS (Rp 48,6 juta) untuk tingkat menengah, 9.000 dollar AS (Rp 146 juta) untuk bug tingkat tinggi, dan 15.000 dollar AS (Rp 243 juta) untuk penemuan bug tingkat kritis. Sementara itu, bagi yang menemukan
• Bug pada perangkat keras (hardware) akan mendapatkan hadiah terbesar : 2.000 dollar AS (Rp 32 juta) untuk menemukan bug dengan tingkat keparahan rendah, 5.000 dollar AS (Rp 81 juta) untuk tingkat menengah, 15.000 (Rp 243 juta) untuk tingkat tinggi, dan 30.000 dollar AS (Rp 486 juta) untuk penemuan bug tingkat kritis.

Metode efektif untuk menemukan bug

Program bug bounty bukanlah hal yang baru dalam dunia teknologi. Program ini telah terbukti menjadi metode yang efektif bagi perusahaan untuk mengidentifikasi dan mengatasi kerentanan tanpa harus mengeluarkan biaya besar dalam proses deteksi. Umumnya, para pemburu bug akan mulai dengan menyelidiki ekosistem perangkat lunak untuk menemukan celah atau bug. Setelah bug ditemukan, mereka akan menyusun dan mengirimkan laporan kepada organisasi dengan detail tentang bug tersebut serta potensi dampaknya.

Perusahaan yang menerapkan skema bounty untuk pendeteksian bug kemudian memberikan imbalan kepada para pemburu bug, yang ditentukan oleh beberapa faktor, termasuk tingkat keparahan bug yang ditemukan. Penemuan bug yang menimbulkan celah keamanan, seperti Spectre, Meltdown, dan kerentanan lain yang bersifat spekulatif, dapat mengakibatkan dampak yang signifikan terhadap kinerja chip, termasuk dari AMD dan produsen chip lainnya.

Oleh karena itu, sangat penting untuk mengidentifikasi kerentanan kritis sebelum mengakibatkan kerugian yang lebih besar, sebagaimana dilaporkan oleh Kompastekno dari TechRadar pada hari Senin (3/6/2024). Bagi Anda yang tertarik berpartisipasi dalam program bug bounty AMD, semua syarat, format pengiriman (apabila bug berhasil ditemukan), dan aspek teknis lainnya kini dapat diakses melalui laman Intigriti.