Tidak ada yang lebih paradoks daripada menjadi peneliti keamanan independen yang taat etika tapi justru harus berhadapan dengan sistem yang lamban, defensif, dan birokratis.
Kita diajarkan untuk melakukan responsible disclosure: melapor dengan sopan, menunggu dengan sabar, dan tidak mengekspose sebelum patch.
Tapi apa yang terjadi ketika pihak yang seharusnya bertanggung jawab justru tidak peduli?
Saat laporanmu dibaca seolah formalitas, saat triager menilai hanya dari angka CVSS tanpa memahami konteks, dan saat kamu melihat celah yang nyata tapi dianggap “not applicable” frustrasi itu tidak bisa dihindari.
Namun di titik itu, kita dihadapkan pada dilema etis yang paling sulit:
Bagaimana caranya tetap etis dalam sistem yang tidak etis terhadap upaya kita?
The Paradox of Responsible Disclosure
Konsep responsible disclosure lahir dengan niat baik agar peneliti dan vendor bisa bekerja sama demi keamanan bersama.
Tapi dalam praktiknya, istilah ini sering disalahartikan.
“Responsible” tidak lagi berarti beretika, melainkan diam sampai mereka siap merespons.
Padahal waktu tidak menunggu.
Eksploitasi di luar sana tidak mengenal etika birokrasi.
Bayangkan kamu menemukan kerentanan yang bisa menyebabkan data pengguna bocor.
Kamu melapor dengan sopan, mengirim bukti, menunggu dengan sabar.
Seminggu, dua minggu, sebulan… tidak ada respon.
Lalu kamu melihat bug itu masih aktif di sistem produksi.
Pada titik itu, kamu sadar: sistemnya yang tidak bertanggung jawab, bukan kamu.
Ketika Triager Melihat Angka, Bukan Realita
Masalah lain yang sering muncul dalam ekosistem bug bounty modern adalah bagaimana manusia di balik triage memaknai risiko.
Bagi sebagian triager, severity hanyalah formula CVSS angka dingin tanpa konteks.
Padahal bagi peneliti di lapangan, setiap bug punya cerita.
Bug bukan sekadar score 6.1 Medium atau 8.8 High, tapi refleksi dari kegagalan desain, miskonsepsi keamanan, atau keputusan teknis yang salah arah.
Saya pernah mengalami sendiri bagaimana laporan bug kritikal diturunkan karena alasan formal:
“PR: Low, karena akun digunakan dengan login.”
Padahal kenyataannya, akun itu bukan hasil login legal tapi hasil investigasi dari data log stealer yang bocor di forum.
Artinya, dari sudut pandang attacker dunia nyata, PR (Privileges Required) seharusnya None.
Namun sistem triage jarang mau keluar dari textbook CVSS.
Mereka lebih memilih angka daripada konteks.
Dan di situlah frustrasi itu tumbuh bukan karena penolakan, tapi karena ketidakadilan logika.
Birokrasi dalam Dunia yang Bergerak Cepat
Birokrasi adalah antitesis dari eksploitasi.
Exploit bergerak dalam detik; birokrasi berjalan dalam minggu.
Ketika sistem keamanan bergantung pada email resmi dan SLA 30 hari,
attacker sudah berpindah ke target berikutnya.
Sebagai peneliti independen, kamu belajar bahwa waktu adalah variabel paling berbahaya.
Setiap hari celah itu terbuka, risiko makin besar.
Dan ironinya, terkadang yang membuat bug tetap terbuka bukan karena sulitnya patch tapi karena proses administrasi yang panjang.
Saya pernah menerima balasan seperti ini setelah sebulan:
“Terima kasih atas laporannya, kami akan mengeskalasi ke tim terkait.”
Satu kalimat, tanpa tindak lanjut, tanpa ETA, tanpa tanggung jawab.
Di titik itu kamu bertanyatanya:
Apakah sistem ini benarbenar peduli pada keamanan, atau hanya peduli pada prosedur?
Frustrasi: Antara Ego dan Empati
Frustrasi adalah bagian alami dari perjalanan setiap researcher.
Tapi bagaimana kita menanggapinya menentukan siapa kita sebenarnya.
Beberapa memilih marah mempublikasikan bug di Twitter, membuka PoC di GitHub, atau menulis sindiran di blog.
Ada juga yang memilih diam, menahan diri, menjaga integritas.
Saya tidak menilai keduanya salah, karena saya paham rasanya.
Ketika kamu bekerja keras, melakukan analisis mendalam, dan laporanmu ditolak dengan alasan “Out of Scope”,
perasaan itu seperti menampar semangatmu sendiri.
Tapi di sisi lain, kita juga harus sadar: publikasi tanpa kontrol bisa menyakiti banyak pihak bukan hanya vendor, tapi juga pengguna.
Maka, di antara ego dan empati, seorang peneliti etis harus berdiri di garis tipis:
menyalurkan frustrasi tanpa menghancurkan kepercayaan.
The Ethics of Frustration
Etika bukanlah tentang tidak merasa marah;
etika adalah tentang bagaimana kamu mengarahkan kemarahan itu.
Frustrasi bisa menjadi energi yang konstruktif jika diolah dengan benar.
Alih-alih menyerang vendor, kamu bisa menulis artikel teknis tanpa menyebut nama target.
Alih-alih mempublikasikan data sensitif, kamu bisa menjelaskan pola kerentanan agar developer lain belajar.
Etika tidak membatasi kreativitas, etika memberi arah.
Karena dalam dunia di mana reputasi adalah segalanya,
reaksi emosional bisa merusak tahun-tahun kerja keras.
“Don’t let your frustration define your ethics. Let your ethics define how you handle frustration.”
Kamu tidak selalu butuh pesan “Triaged” dari triager untuk membuktikan nilai dari pekerjaanmu.
Kadang, cara terbaik membalas penolakan adalah dengan membangun riset yang lebih besar dari sistem yang menolaknya.
Sistem yang Perlu Diperbaiki
Mari jujur: banyak platform bug bounty dan program disclosure masih belum matang secara manusiawi.
Mereka fokus pada SLA compliance dan ticket queue, bukan pada kualitas komunikasi.
Beberapa hal yang seharusnya menjadi best practice:
- Triager wajib membaca laporan dengan konteks, bukan hanya CVSS field.
- Vendor seharusnya memberikan acknowledgment detail, bukan template otomatis.
- Peneliti yang sopan dan sabar seharusnya mendapatkan timely response, bukan keheningan email.
- Dan yang paling penting: triager harus bisa berdialog, bukan hanya memutuskan.
Ekosistem yang sehat tidak lahir dari sistem yang sempurna, tapi dari komunikasi yang jujur dan saling menghargai.
Mencari Keseimbangan: Disclosure, Pressure, dan Integrity
Kadang, satusatunya cara agar bug diperhatikan adalah dengan memberi tekanan publik.
Tapi tekanan bukan berarti drama.
Tekanan bisa dalam bentuk edukasi: publikasi riset, konferensi, atau artikel teknis yang menyentuh akar masalah.
Sebagai peneliti independen, kita harus terus belajar membaca momentum:
- Kapan harus menunggu.
- Kapan harus berbicara.
- Dan kapan harus berhenti.
Tidak semua bug pantas dipublikasikan.
Tapi tidak semua vendor pantas diberi keheningan.
Etika disclosure sejati adalah kemampuan membaca situasi dan menjaga keseimbangan antara keamanan publik dan tanggung jawab profesional.
Refleksi: Saat Etika Bertemu Birokrasi
Birokrasi akan selalu ada.
Sistem formal akan selalu menuntut prosedur.
Tapi semangat hacker sejati tidak bisa dibirokrasikan.
Kita tidak bekerja untuk badge, bounty, atau “thanks” di email template.
Kita bekerja karena kita peduli dan karena kita tahu kalau kita diam,
maka tidak ada yang akan memperingatkan dunia sebelum terlambat.
Etika bukan sekadar aturan untuk tidak menyerang,
tapi komitmen untuk terus berjuang dengan cara yang benar, bahkan ketika sistem tidak mendukung.
Penutup : Frustration as a Form of Care
Frustrasi muncul karena kita peduli.
Kalau kita tidak peduli, kita tidak akan marah.
Dan justru karena itu, frustrasi adalah tanda bahwa nurani kita masih hidup.
Tantangannya adalah bagaimana mengubah rasa itu menjadi sesuatu yang berarti:
- Tulisan yang membuka mata.
- Riset yang memperbaiki ekosistem.
- Dan semangat yang menular ke generasi berikutnya.
“Frustration is the tax you pay for caring in an apathetic system.”
Tapi jangan berhenti karena itu. Gunakan kemarahanmu sebagai tenaga, bukan peluru.
Pada akhirnya, tanggung jawab peneliti keamanan bukan hanya menemukan bug,
tapi juga menjaga keseimbangan antara kejujuran dan kesabaran antara responsibility dan resistance.
Karena dalam dunia yang penuh birokrasi,
menjadi peneliti etis adalah bentuk perlawanan tersendiri.
“We break systems not for fame, but to remind them that ethics still matters.”
