Positive Technologies baru-baru ini merilis riset komprehensif mengenai ekosistem monetisasi vulnerability yang mencakup tiga lapisan pasar: legal, grey, dan dark web. Riset ini memberikan gambaran detail tentang bagaimana vulnerability menjadi komoditas bernilai tinggi di industri keamanan siber global, mulai dari program bug bounty resmi yang dikelola perusahaan besar hingga marketplace ilegal di deep web yang memperdagangkan zero-day exploit dengan harga jutaan dolar. Temuan utama riset ini menunjukkan bahwa pasar monetisasi vulnerability telah menjadi ekosistem yang sangat terstruktur dan kompleks.
Data paling mencolok dari riset Positive Technologies adalah fakta bahwa vulnerability menyumbang sekitar 35% dari seluruh serangan sukses yang tercatat pada tahun 2025. Angka ini mengkonfirmasi bahwa exploitable vulnerability tetap menjadi vector serangan paling efektif bagi aktor ancaman, melampaui teknik social engineering, phishing, dan brute force secara individual. Dari total serangan yang berhasil, dampak yang ditimbulkan terbagi dalam beberapa kategori utama: pelanggaran konfidensialitas mencapai 28%, gangguan bisnis sebesar 13%, dan supply chain attack sebesar 12%. Distribusi dampak ini menunjukkan bahwa motivasi utama penyerang masih didominasi oleh pencurian data sensitif, namun gangguan operasional dan kompromi rantai pasok software juga semakin diminati oleh aktor ancaman yang lebih terorganisir.
Pasar Legal: Bug Bounty sebagai Gerbang Utama
Pasar legal untuk monetisasi vulnerability telah berkembang menjadi industri yang besar dan terstruktur. Platform-platform seperti HackerOne, Standoff Bug Bounty, dan Zero Day Initiative (ZDI) menjadi jembatan utama antara peneliti keamanan yang menemukan vulnerability dan organisasi yang membutuhkan perlindungan. HackerOne sebagai platform terbesar telah mengelola pembayaran bug bounty senilai ratusan juta dolar sejak diluncurkan, sementara Standoff Bug Bounty menawarkan program yang terintegrasi dengan ekosistem keamanan di wilayah Eropa Timur dan Asia Tengah. ZDI dari Trend Micro tetap menjadi salah satu program paling bergengsi untuk vulnerability researcher yang menginginkan pengakuan industri sekaligus kompensasi finansial yang substansial.
Data reward medians dari program Standoff Bug Bounty memberikan gambaran menarik tentang valuasi vulnerability di pasar legal. Untuk kategori critical severity, median reward mencapai 200.000 RUB, sementara high severity berada di angka 50.000 RUB, medium severity di 17.000 RUB, dan low severity di 5.000 RUB. Perbedaan valuasi antara critical dan low severity yang cukup signifikan ini mencerminkan kompleksitas dan dampak teknis dari vulnerability yang ditemukan. Seorang researcher yang mampu menemukan vulnerability kritis di infrastruktur inti organisasi dapat menghasilkan pendapatan yang setara atau bahkan melampaui gaji tahunan posisi senior di banyak perusahaan keamanan. Namun, reward ini juga menunjukkan bahwa pasar legal masih memiliki batasan valuasi yang membuat beberapa researcher beralih ke grey market atau dark web untuk mendapatkan kompensasi yang lebih tinggi.
Salah satu temuan menarik dari riset Positive Technologies adalah fakta bahwa 96% bug hunter yang aktif di program bug bounty legal berfokus pada web applications sebagai target utama mereka. Konsentrasi ini masuk akal mengingat web application merupakan attack surface yang paling luas dan mudah diakses oleh researcher tanpa memerlukan infrastruktur khusus. Setiap organisasi modern memiliki web application yang terpapar ke internet, dan kerentanan pada aplikasi web seperti SQL injection, cross-site scripting, dan broken authentication masih sangat umum ditemukan. Konsentrasi ini juga berarti bahwa vulnerability pada target non-web seperti sistem operasi, firmware, dan hardware cenderung kurang dieksplorasi di pasar legal, yang secara tidak langsung meningkatkan nilai komersial mereka di grey market dan dark web.
Grey Market: Broker Vulnerability dan Harga Premium
Grey market untuk vulnerability beroperasi di area abu-abu antara legal dan ilegal, di mana broker vulnerability memfasilitasi transaksi antara peneliti yang menemukan vulnerability dan pembeli yang tidak ingin melalui program bug bounty resmi. Salah satu broker paling menonjol di grey market adalah Operation Zero, sebuah platform yang menawarkan harga hingga 2,5 juta dolar AS untuk satu zero-day exploit. Harga ini secara dramatis melebihi reward yang ditawarkan oleh program bug bounty legal mana pun, menjadikan grey market sebagai opsi yang sangat menarik bagi researcher yang menginginkan kompensasi maksimal. Operation Zero secara spesifik menarget vulnerability yang dapat digunakan untuk akses jarak jauh pada sistem operasi dan aplikasi populer.
Di level yang lebih tinggi dari grey market, Advance Security Solutions menawarkan harga yang bahkan lebih mengesankan, dengan kontrak yang mencapai hingga 20 juta dolar AS per vulnerability. Harga astronomis ini biasanya ditujukan untuk zero-day exploit yang menarget platform widely-used seperti iOS, Android, Windows, atau appliances keamanan tertentu yang digunakan oleh militer dan badan intelijen. organisasi seperti Advance Security Solutions beroperasi dengan model bisnis yang mirip dengan perusahaan riset keamanan privat, namun dengan fleksibilitas yang jauh lebih besar dalam menentukan siapa yang menjadi klien mereka. Klien grey market broker bisa berasal dari badan intelijen pemerintah, perusahaan swasta besar, atau bahkan aktor ancaman tingkat lanjut yang memiliki kemampuan finansial signifikan.
Dark Web: Ekosistem Perdagangan Vulnerability Terbesar
Dark web marketplace merupakan lapisan paling bawah dari ekosistem monetisasi vulnerability, di mana transaksi dilakukan secara anonim menggunakan cryptocurrency dan melalui platform yang beroperasi di Tor network. Riset Positive Technologies mengungkap bahwa 61% dari seluruh penawaran vulnerability di dark web merupakan initial access, yaitu kemampuan untuk mendapatkan akses awal ke jaringan atau sistem target. Kategori initial access ini sangat diminati oleh berbagai aktor ancaman karena menjadi langkah pertama yang paling kritis dalam rantai serangan. Tanpa initial access, sebagian besar teknik lateral movement dan privilege escalation tidak dapat dilakukan, menjadikannya komoditas paling berharga di dark web marketplace.
Dari total iklan vulnerability di dark web, 49% menargetkan zero-day exploit dan 11% menargetkan one-day exploit. Perbandingan ini menunjukkan bahwa zero-day tetap menjadi primadona di dark web karena nilai tactical dan strategisnya yang jauh lebih tinggi dibandingkan one-day exploit. Zero-day exploit memberikan penyerang kemampuan untuk mengeksploitasi vulnerability yang belum diketahui oleh vendor, sehingga tidak ada patch yang tersedia dan pertahanan berbasis signature menjadi tidak efektif. Sementara itu, one-day exploit meskipun lebih murah tetap memiliki nilai karena banyak organisasi tidak menerapkan patch dengan cepat setelah rilis, menciptakan jendela waktu di mana exploit masih bisa berhasil digunakan.
Analisa Harga dan Distribusi Vulnerability
Distribusi jenis vulnerability di dark web menunjukkan bahwa Remote Code Execution (RCE) mendominasi dengan 43% dari total penawaran, diikuti oleh Local Privilege Escalation (LPE) sebesar 25%. Dominasi RCE mencerminkan permintaan tinggi dari pembeli yang menginginkan kemampuan untuk menjalankan kode secara remote pada target tanpa perlu akses fisik atau akses awal ke jaringan. RCE vulnerability memungkinkan serangan yang paling fleksibel dan berdampak luas karena dapat dieksploitasi dari jarak jauh melalui internet. LPE, di sisi lain, sangat berharga dalam konteks serangan bertahap di mana penyerang sudah memiliki akses awal dengan privilege rendah dan perlu meningkatkan hak akses mereka untuk mencapai target akhir seperti domain controller atau database server.
Dari sisi pricing, median harga zero-day exploit di dark web berada di angka 80.000 dolar AS, sementara one-day exploit berharga sekitar 5.000 dolar AS. Perbandingan harga ini menunjukkan bahwa zero-day bernilai 16 kali lipat lebih tinggi dari one-day exploit. Namun, angka median ini tidak bercerita seluruhnya karena harga aktual sangat bergantung pada target spesifik dan dampak exploit. Untuk kategori target tertentu, harganya jauh melampaui angka median. Mobile operating system zero-day exploit mencapai median harga 100.000 dolar AS, sementara zero-day exploit untuk software korporat berada di angka 80.000 dolar AS. Target mobile operating system bernilai lebih tinggi karena ekosistem mobile yang tertutup sulit diteliti dan attack surface-nya yang sangat luas mencakup miliaran perangkat di seluruh dunia.
Analisa Retasan
Hubungan antara pasar legal, grey market, dan dark web dalam monetisasi vulnerability menciptakan sebuah ekosistem yang kompleks dan saling terkait. Organisasi yang berpartisipasi dalam program bug bounty legal berkontribusi pada pertahanan kolektif dengan mengidentifikasi dan memperbaiki vulnerability sebelum dieksploitasi secara ilegal. Namun, celah antara reward bug bounty dan harga grey market menciptakan insentif finansial yang kuat bagi researcher untuk menahan temuan mereka atau menjualnya ke broker yang menawarkan harga lebih tinggi. Gap ini merupakan tantangan fundamental yang harus diatasi oleh ekosistem bug bounty jika ingin mengurangi jumlah vulnerability yang bocor ke grey market dan dark web.
Dari sudut pandang Threat Intelligence, riset Positive Technologies ini sangat berharga karena memberikan data pricing dan distribusi vulnerability yang bisa digunakan untuk memprioritaskan pertahanan. Dengan mengetahui bahwa RCE merupakan jenis vulnerability paling diminati di dark web, organisasi dapat memfokuskan testing dan patching pada vulnerability yang berpotensi menyebabkan remote code execution. Threat Intelligence yang memantau grey market dan dark web juga dapat memberikan early warning jika exploit untuk vulnerability spesifik yang relevan dengan infrastruktur organisasi mulai beredar di pasar gelap. Kemampuan untuk mendeteksi dan merespons sebelum exploit digunakan secara aktif merupakan perbedaan kritis antara pertahanan yang proaktif dan reaktif.
Untuk organisasi di Indonesia, riset ini menegaskan pentingnya mengadopsi pendekatan vulnerability management yang terstruktur. Investasi dalam program bug bounty, vulnerability scanning berkala, dan patch management yang ketat bukan lagi opsi melainkan kebutuhan mendesak. Dengan harga zero-day yang mencapai jutaan dolar di grey market, aktor ancaman memiliki motivasi finansial yang kuat untuk mengeksploitasi vulnerability organisasi Indonesia yang mungkin masih belum ditambal. Mengurangi attack surface melalui patching cepat dan membangun visibility melalui Threat Intelligence merupakan dua pilar utama pertahanan yang harus diprioritaskan oleh setiap organisasi.
Sumber: Positive Technologies – Vulnerability Monetization Markets

