Setelah menulis Hunting as a Craft, saya sadar kalau rasa ingin tahu hanyalah titik awal.
Itu fondasi yang penting, tapi bukan tujuan akhir.
Dunia bug bounty dan riset keamanan sekarang sudah jauh lebih padat dari sebelumnya ratusan report masuk tiap hari, noise di sosial media makin keras, dan semua orang berlomba terlihat paling “hebat”. Di tengah semua itu, ukuran sebenarnya bukan siapa yang paling cepat menemukan bug, tapi siapa yang benar-benar kompeten dan punya integritas di bidangnya.
Karena pada akhirnya, kredibilitas seorang researcher tidak dibangun dari satu laporan kritikal atau satu bounty besar, tapi dari cara dia berpikir, bekerja, dan menjaga etikanya di setiap proses.
Setiap eksplorasi, setiap POC, dan setiap artikel teknis adalah bagian dari perjalanan panjang itu dari sekadar penasaran, menuju pemahaman, lalu akhirnya menjadi pengakuan yang lahir dari kompetensi dan konsistensi.
Tulisan ini adalah lanjutan dari perjalanan tersebut.
Tentang bagaimana rasa ingin tahu bisa berkembang menjadi keahlian, dan bagaimana keahlian yang dijaga dengan integritas bisa menumbuhkan kredibilitas bahkan di tengah dunia yang semakin bising ini.
Awal Perjalanan: Rasa Ingin Tahu yang Tidak Bisa Diam
Semua peneliti besar berawal dari satu hal sederhana: rasa penasaran.
Begitu juga saya.
Awalnya tidak ada niat besar untuk “jadi pentester profesional” atau “masuk dunia bug bounty”.
Saya hanya suka bertanya, kenapa sistem ini bisa bekerja seperti ini? atau apa yang terjadi kalau request ini saya ubah sedikit?
Rasa ingin tahu seperti itu yang menjadi pemantik semuanya.
Dulu saya sering melakukan hal-hal kecil memantau log, intercept request dari aplikasi, membuka devtools, menulis catatan tentang setiap anomali kecil yang saya temukan.
Sebagian besar tidak menghasilkan apa-apa, tapi justru dari situ pola terbentuk: semakin saya bertanya, semakin saya paham bagaimana sistem berjalan.
Pada tahap ini, belum ada yang namanya kredibilitas.
Yang ada hanya dorongan untuk terus mencoba, dan keberanian untuk gagal.
Dan kegagalan demi kegagalan itulah yang perlahan membentuk kompetensi saya ini.
Dari Eksperimen ke Keahlian
Rasa ingin tahu membuatmu bergerak, tapi kompetensi membuatmu bertahan.
Di titik tertentu, rasa penasaran harus diimbangi dengan kedalaman teknis.
Saya mulai belajar membaca source code, menganalisis request, dan memahami arsitektur sebuah aplikasi modern.
Dari sekadar “nyoba payload XSS” berubah jadi memahami kenapa sanitasi gagal di layer tertentu.
Dari sekadar “nyoba brute force OTP” berubah jadi melihat bagaimana backend menangani limit logic.
Salah satu turning point-nya adalah ketika saya menemukan bug logic di salah satu aplikasi di mana parameter yang seharusnya di-filter masih bisa dieksekusi oleh database.
Bagi orang lain, itu cuma SQL Injection klasik.
Tapi bagi saya, itu pelajaran besar: bug bukan tentang payload, tapi tentang mindset.
Saya mulai sadar, seorang peneliti bukan yang paling banyak menemukan bug, tapi yang paling memahami kenapa bug itu bisa terjadi.
Ketika Dunia Menjadi Bising
Semakin lama saya berkecimpung di dunia ini, semakin saya sadar kalau bukan hanya sistem yang kompleks manusianya juga.
Bug bounty berubah jadi arus besar yang dipenuhi ranking, kompetisi, dan vanity metrics.
Ada yang berburu “valid” demi insentif, ada yang menumpuk laporan cepat tanpa kedalaman analisis, ada juga yang menilai researcher hanya dari skor CVSS.
Masalahnya, dunia yang terlalu bising seperti ini sering melupakan esensi riset keamanan yaitu sebuah kejujuran
Saya pernah melihat laporan yang sebenarnya hebat secara teknis, tapi diabaikan karena tidak sesuai template.
Sebaliknya, laporan biasa saja kadang dihargai tinggi karena penyusunnya punya nama besar.
Itulah dunia yang kita hadapi sekarang dunia yang kadang tidak adil, tapi tetap harus dihadapi dengan kepala dingin.
Karena justru di tengah kebisingan itulah integritas diuji.
Integritas: Hal yang Tidak Bisa Dipalsukan
Kamu bisa memalsukan laporan, menyembunyikan referensi, bahkan menyalin payload orang lain.
Tapi kamu tidak bisa memalsukan integritas.
Integritas adalah hal yang dibangun dari keputusan kecil setiap hari:
- apakah kamu jujur menulis laporan sesuai fakta,
- apakah kamu menyebut sumber inspirasi dengan benar,
- dan apakah kamu tetap menghargai sistem meski triager salah menilai.
Saya pernah mengalami laporan bug yang secara dampak bisa berujung account takeover, tapi triager menolaknya dengan alasan formalitas.
Padahal bug-nya nyata, reproduksi-nya jelas, dan dampaknya bisa langsung dieksploitasi.
Di situ saya belajar: kredibilitas bukan tentang siapa yang menilai, tapi bagaimana kamu bereaksi terhadap penilaian itu.
Integritas adalah tentang tetap profesional ketika tidak ada yang melihat.
Dan itulah titik di mana peneliti berubah dari “hunter” menjadi “researcher”.
Kompetensi yang Terukur, Bukan Dianggap
Kompetensi bukan soal seberapa banyak tools yang kamu kuasai, tapi seberapa dalam kamu memahami satu masalah.
Saya lebih menghargai satu analisis mendalam yang mengurai satu bug kompleks, dibanding sepuluh laporan low severity hasil scanning otomatis.
Keahlian di bidang ini harus punya ciri:
- berpikir sistemik, bukan instan;
- melihat dependensi, bukan sekadar parameter;
- dan memahami bagaimana satu perubahan kecil bisa berdampak ke seluruh sistem.
Sebagai contoh, saya pernah menelusuri bug yang awalnya terlihat “minor”: parameter yang bisa dimodifikasi tanpa autentikasi.
Setelah ditelusuri lebih dalam, ternyata itu membuka jalur menuju endpoint yang berdampak eskalasi ke user yang lebih tinggi. Sebuah eskalasi yang tidak muncul di scanner mana pun.
Kompetensi seperti ini tidak lahir dari keberuntungan, tapi dari jam terbang dan curiosity yang disiplin.
Ketika Kredibilitas Tidak Datang Seketika
Di dunia riset, pengakuan tidak datang cepat.
Kamu bisa bekerja berbulan-bulan, riset berhari-hari, tapi tetap tidak mendapat “valid” dari platform.
Dan itu tidak apa-apa.
Karena kredibilitas bukan sesuatu yang kamu minta, tapi sesuatu yang muncul dari konsistensi.
Bukan karena kamu banyak bicara, tapi karena hasil kerjamu membuat orang diam dan memperhatikan.
Setiap artikel yang kamu tulis, setiap laporan yang kamu kirim, dan setiap tools yang kamu rilis semuanya membangun satu hal: reputasi jangka panjang.
Dan reputasi tidak bisa dibeli dengan bounty.
Menavigasi Dunia yang Tidak Sempurna
Ekosistem bug bounty tidak ideal.
Triager bisa salah, platform bisa bias, dan vendor bisa defensif.
Tapi kita tidak bisa menyerah karena sistemnya tidak sempurna.
Kredibilitas lahir dari cara kita menavigasi ketidaksempurnaan itu tanpa kehilangan prinsip.
Kadang kamu harus menahan diri, kadang kamu harus memperjuangkan validasi, kadang kamu harus menulis riset sendiri karena laporanmu diabaikan.
Dan itulah keindahannya: setiap frustrasi bisa menjadi bahan bakar bagi sesuatu yang lebih besar.
Contohnya, beberapa riset yang kini jadi proyek tim Tegalsec awalnya bukan dari laporan yang diterima tapi dari laporan yang ditolak, dari keingintahuan yang tidak puas, dan dari kemarahan yang diolah menjadi karya.
Komunitas dan Kredibilitas Kolektif
Tidak ada peneliti yang tumbuh sendirian.
Komunitas adalah cermin: tempat kamu mengasah ide, diuji, dan diperbaiki.
Tegalsec lahir dari gagasan itu bahwa pengetahuan harus disebarkan, bukan disimpan.
Bahwa kredibilitas individu akan jauh lebih kuat kalau tumbuh bersama orang-orang yang punya nilai yang sama.
Dalam komunitas, integritas diuji bukan oleh vendor, tapi oleh rekanmu sendiri.
Apakah kamu berbagi laporan dengan jujur? Apakah kamu mau belajar dari orang lain?
Di situlah kamu benar-benar tahu siapa yang kompeten, bukan hanya kelihatan aktif.
Kredibilitas bersifat kolektif.
Bukan tentang “siapa yang paling jago”, tapi “siapa yang membuat ekosistem ini lebih baik dari sebelumnya.”
Dari Keahlian ke Integritas Publik
Di titik tertentu, kredibilitas pribadi akan berkembang menjadi bentuk tanggung jawab sosial.
Ketika kamu mulai dipercaya oleh komunitas, lembaga pendidikan, atau bahkan perusahaan tanggung jawabmu ikut bertambah.
Kamu tidak lagi hanya mewakili diri sendiri, tapi juga nilai yang kamu bawa.
Setiap laporan, setiap pelatihan, setiap artikel menjadi representasi dari integritasmu.
Bukan kebetulan kalau banyak peneliti independen akhirnya diminta menjadi pembicara, pengajar, atau konsultan bukan karena mereka yang paling banyak dapat bounty, tapi karena mereka punya kompetensi yang bisa dipercaya dan integritas yang bisa diandalkan.
Penutup
Pada akhirnya, perjalanan seorang peneliti keamanan bukanlah tentang ketenaran, bukan tentang ranking, dan bukan tentang siapa yang paling sering valid.
Ini tentang bagaimana rasa ingin tahu bisa tumbuh jadi keahlian, bagaimana keahlian itu dijaga dengan integritas, dan bagaimana integritas itu perlahan membangun kredibilitas yang diakui tanpa diminta.
“Kredibilitas bukan status ia adalah hasil dari puluhan keputusan kecil yang kamu ambil dengan benar, bahkan ketika tidak ada yang melihat.”
Dunia ini akan terus bising.
Tapi kamu tidak perlu berteriak untuk terdengar.
Cukup biarkan hasil kerja, konsistensi, dan cara berpikirmu berbicara.
“Curiosity builds skill, integrity builds trust, and credibility builds legacy.”
