Kecerdasan buatan (AI) kembali menunjukkan kemampuannya dalam dunia keamanan siber. Seorang peneliti keamanan berhasil menemukan berbagai celah keamanan di infrastruktur Google dengan bantuan sistem fuzzing berbasis AI. Hasilnya tidak main-main, lebih dari 500.000 dolar AS atau sekitar Rp8 miliar berhasil diperoleh melalui program bug bounty Google dalam waktu kurang dari tiga bulan.
Baca Juga : Hacker Manfaatkan TikTok dan Instagram Reels untuk Sebar Malware
Temuan tersebut mengungkap adanya sejumlah kelemahan akses kontrol yang tersembunyi di sekitar 1.500 API milik Google. Menariknya, sebagian besar celah ini ditemukan secara otomatis dengan memanfaatkan AI yang dirancang khusus untuk melakukan pengujian keamanan secara masif.
Penelitian Menargetkan Ribuan API Google
Penelitian ini dilakukan oleh Arvin Shivram dari Brutecat Security. Ia memfokuskan pengujiannya pada dokumen discovery dan spesifikasi API yang dapat dibaca mesin, mirip dengan dokumen Swagger yang berisi daftar endpoint, parameter, serta metode yang tersedia pada sebuah API.
Beberapa dokumen tersebut memang tersedia untuk publik, seperti yang digunakan oleh YouTube Data API. Namun, Shivram menemukan bahwa banyak dokumen serupa juga tersedia untuk API internal Google yang hanya dapat diakses menggunakan API key yang valid.
Dari sinilah proses penelitian dimulai.
Daftar Temuan dengan Nilai Bug Bounty Tertinggi
Selama proses pengujian, sejumlah kerentanan berhasil ditemukan di berbagai layanan Google. Berikut beberapa temuan yang mendapatkan imbalan terbesar dari Google:
| Kerentanan | Layanan Terdampak | Bug Bounty |
|---|---|---|
| Pengambilalihan akun Google Voice/Fiber melalui kebocoran data pribadi dan nomor pemulihan akun | gfibervoice-pa.googleapis.com | US$20.000 |
| Pengambilalihan AdExchange melalui lingkungan staging yang terhubung ke data produksi | adexchangebuyer | US$30.000 |
| API internal Eldar yang terbuka ke publik | eldar-pa.clients6.google.com | US$26.674 |
| Kebocoran ID video YouTube private dan unlisted | YouTube Content ID API | US$12.000 |
| Pengambilalihan sistem Widevine DRM | alkaliwidevineintegrationconsole-pa | US$16.004 |
| Eskalasi hak akses pada DataHub/PLX | datahub | US$12.000 |
| Kerentanan Translation Hub lintas tenant | translationhub.googleapis.com | US$36.500 |
| Tidak adanya kontrol akses pada YouTube TV CMS | alkalitvfilm-pa | US$24.000 |
| Modifikasi konfigurasi Vertex AI Search tanpa autentikasi | retail.googleapis.com | US$30.000 |
| Kebocoran log App Engine melalui GraphQL Cloud Console | cloudconsole-pa | US$18.000 |
| Akses sesi Vertex Assistant tanpa autentikasi | cloudconsole-pa | US$30.000 |
| Kebocoran informasi penagihan Google Maps Platform | cloudconsole-pa | US$12.000 |
Secara keseluruhan, temuan-temuan tersebut menghasilkan total pembayaran bug bounty lebih dari setengah juta dolar.
Mengumpulkan Ribuan API Key
Sebagian besar API internal Google memerlukan API key yang valid untuk dapat diakses. Untuk mengatasi tantangan ini, Shivram bekerja sama dengan peneliti lain bernama Michael Dalton.
Mereka melakukan pengumpulan kredensial dalam skala besar dengan berbagai metode, mulai dari memindai lebih dari 60.000 APK Android, mendekripsi binary aplikasi iOS, hingga membuat ekstensi Chrome yang mampu memantau lalu lintas data pada lebih dari 2.800 domain web Google.
Dari proses tersebut, mereka berhasil mengumpulkan sekitar 3.600 API key.
Karena satu API key sering kali memiliki akses ke beberapa layanan dalam satu proyek Google Cloud, kumpulan kredensial ini memberikan jangkauan pengujian yang sangat luas.
Untuk memastikan penelitian tetap berada dalam ruang lingkup program keamanan Google, mereka memfilter API key non-Google menggunakan endpoint Cloud Marketplace yang dapat mengidentifikasi pemilik sebuah proyek berdasarkan nomor proyeknya.
AI Digunakan Sebagai Mesin Pentesting Otomatis
Setelah berhasil mengumpulkan lebih dari 1.500 dokumen discovery API, termasuk endpoint tersembunyi yang muncul melalui label visibilitas internal seperti GOOGLE_INTERNAL, Shivram membangun sebuah API Explorer khusus.
Alat tersebut mampu membaca dokumen discovery secara langsung dari sisi klien dan menjalankan permintaan autentikasi ke berbagai endpoint.
Langkah berikutnya menjadi bagian paling menarik dari penelitian ini. Shivram mengintegrasikan Claude AI sebagai mesin pentesting otomatis.
AI tersebut dibekali beberapa alat khusus seperti:
- probe_api
- report_vulnerability
- confirm_testing_complete
Dengan kombinasi tersebut, AI dapat melakukan pengujian secara sistematis terhadap setiap endpoint untuk mencari kelemahan akses kontrol maupun kerentanan IDOR (Insecure Direct Object Reference).
Selama sekitar satu bulan, sistem terus disempurnakan melalui berbagai eksperimen prompt engineering. Beberapa peningkatan yang diterapkan meliputi klasifikasi endpoint berdasarkan kelompok layanan, pengujian menggunakan banyak API key secara otomatis, hingga penerjemahan pesan error API Google yang kompleks menjadi informasi yang lebih mudah dipahami.
Setelah proses optimasi selesai, tingkat akurasi AI dalam melaporkan kerentanan berhasil melampaui 50 persen, sehingga proses verifikasi manual menjadi jauh lebih cepat.
Kerentanan Paling Berbahaya Ditemukan di Google Voice
Salah satu temuan paling serius berasal dari API gfibervoice-pa.googleapis.com, yang digunakan untuk mengelola layanan Google Voice dan Google Fiber.
Peneliti menemukan bahwa API tersebut hampir tidak memiliki kontrol akses yang memadai.
Hanya dengan satu perintah curl tanpa autentikasi dan menggunakan Gaia ID milik korban, penyerang dapat memperoleh berbagai informasi pribadi, termasuk nomor Google Voice dan nomor telepon pemulihan akun korban.
Yang lebih mengkhawatirkan, API tersebut juga memungkinkan seseorang menambahkan nomor telepon apa pun ke akun Google korban tanpa izin. Nomor tersebut bahkan dapat muncul sebagai nomor yang terverifikasi di halaman myaccount.google.com/phone.
Kondisi ini membuka peluang terjadinya pengambilalihan akun (Account Takeover/ATO) maupun serangan yang menyerupai teknik SIM swap.
Google mengategorikan kerentanan ini sebagai P0/S0, tingkat keparahan tertinggi dalam sistem penilaian mereka. Perbaikan dilakukan hanya dalam hitungan jam setelah laporan diterima, dan peneliti memperoleh hadiah sebesar US$20.000 untuk temuan tersebut.
AI Mengubah Cara Menemukan Celah Keamanan
Seluruh kerentanan yang ditemukan telah dilaporkan secara bertanggung jawab melalui program Google Vulnerability Reward Program (VRP).
Dalam waktu kurang dari 90 hari, penelitian berbasis AI ini berhasil mengungkap puluhan bug pada berbagai API internal Google dan menghasilkan total bug bounty lebih dari 500.000 dolar AS.
Penelitian ini juga menunjukkan perubahan besar dalam dunia keamanan siber. Jika selama ini AI lebih sering digunakan sebagai alat pertahanan, kini teknologi tersebut terbukti mampu berperan sebagai mesin pencari kerentanan yang sangat efektif dan dapat bekerja dalam skala besar.
Baca Juga : Dokumen Antivirus Palsu Jadi Senjata Hacker untuk Menyerang Organisasi Israel
Kasus ini menjadi bukti bahwa di tangan yang tepat, AI tidak hanya membantu mengamankan sistem, tetapi juga mampu menemukan kelemahan kritis yang mungkin terlewat bahkan oleh organisasi teknologi terbesar dan paling berpengalaman sekalipun.
