SINGAPURA – Media OutReach – Platform eCommerce terkemuka di Asia Tenggara Lazada telah menyelesaikan program bug bounty terbarunya secara live dengan YesWeHack, Platform Kebijakan Pengungkapan Bug dan Kerentanan (VDP) terdepan di dunia.

Program live bug bounty dua hari ini digelar pada iven Hack In The Box Security Conference (HITBSecCONF 2022), menghasilkan 115 laporan kerentanan yang dikirimkan oleh belasanpeneliti yang hadir di acara tersebut, termasuk beberapa peneliti keamanan terbaik di dunia.

Setelah menjalankan program Bug Bounty dua tahun yang sukses dengan YesWeHack, Lazada meningkatkan program ke tingkat berikutnya tahun ini selama HITBSecCONF 2022. Acara ini memungkinkan Lazada untuk menguji aplikasi mereka selama periode waktu tertentu, sekaligus dapat bertemu dengan para peneliti untuk bertukar penemuan, sehingga memberikan Lazada wawasan yang mendalam dan eksklusif tentang kerentanan yang ditemukan.

Lazada ingin menggunakan acara live ini sebagai peluang untuk mencapai keamanan tertinggi. Untuk mengaktifkan ini, perusahaan secara sukarela menonaktifkan sejumlah mekanisme keamanan untuk peneliti yang berpartisipasi dan hanya untuk periode acara, yang memungkinkan mereka untuk menguji sistem dan aplikasi secara ekstensif.

Sebagai contoh, para peneliti dapat melewati Firewall Aplikasi Web (WAF) sepanjang acara, mengizinkanmereka meretas situs dan layanan platform eCommerce secara langsung.
Lazada telah memilih untuk menonaktifkan WAF untuk para pemburu, karena fakta bahwa meskipun mereka dapat memblokir sebagian besar serangan, mereka tidak sempurna. Selain WAF, Lazada juga menonaktifkan solusi keamanan lain yang biasanya digunakan sebagai lini pertahanan pertama, menawarkan kesempatan kepada peretas untuk menguji aplikasi mereka secara lebih mendalam.

“Menyelesaikan program live dalam skala ini menunjukkan komitmen Lazada terhadap keamanan dan sikap progresif terhadap bug bounty. Dengan terlibat dengan komunitas yang lebih luas, raksasa eCommerce menempatkan tingkat kepercayaan yang belum pernah terjadi sebelumnya pada peretas etis untuk memperkuat keamanan, transparansi, serta privasi dan perlindungan data mereka dengan lebih baik. Kami senang dapat berkontribusi untuk kolaborasi sukses lainnya dengan Lazada,” kata Kevin Gallerin, CEO APAC, YesWeHack, dalam keterangannya, Kamis (8/9/2022).

“Mengamankan data pelanggan dan melindunginya dari insiden di masa depan adalah hal terpenting di Lazada. Memiliki beberapa peneliti keamanan terbaik di dunia di ruangan yang sama dengan kami adalah kesempatan luar biasa untuk belajar dan bertukar, terutama untuk tim merah kami, yang memasang serangan yang disengaja pada sistem kami setiap hari untuk mengidentifikasi dan memperbaiki kerentanan,” kata Bruno Demarche, yang memimpin Tim Merah & Tim Pengujian Keamanan di Lazada Group.

“Program live bug bounty adalah pengalaman yang berharga bagi Lazada dan YesWeHack. Tim telah mampu mengungkap hasil yang berkualitas, yang telah memberi kami ide tentang bagaimana kami dapat meningkatkan proses pengujian internal kami untuk aplikasi dan layanan kami untuk melindungi pelanggan dan mitra Lazada dengan lebih baik, ” kata Yuezhong Bao, Kepala Keamanan Siber, Grup Lazada.

Kemitraan Lazada dengan YesWeHack dimulai pada Januari 2020 dengan program private bug bounty selama 18 bulan yang sukses. Para mitra kemudian terus memperluas cakupan kolaborasi mereka, dan Lazada membuka programnya untuk umum pada tahun 2021, dengan hadiah hingga US$10.000 per bounty. Sejak itu, perusahaan telah bekerja dengan lebih dari 45.000 ethical hacker untuk mendeteksi kelemahan dalam aplikasi dan sistem mereka untuk mencapai keamanan dan perlindungan maksimum atas platform mereka.

Kolaborasi dengan Lazada juga memungkinkan YesWeHack untuk lebih meningkatkan komunitas pakar keamanan siber dan memposisikan perusahaan sebagai pemain bug bounty terkemuka di Asia Pasifik. Sejak 2019, YesWeHack telah melayani lebih dari 60 klien dari kantor pusatnya di Asia Pasifik di Singapura, termasuk BFSI besar, unicorn teknologi, dan badan pemerintah. Dengan meningkatnya permintaan pasar yang terlihat untuk model keamanan crowdsourced, 40% peneliti keamanan YesWeHack berbasis di Asia, dengan 30% kliennya berasal dari Australia, Cina, Indonesia, Malaysia, dan Singapura.