[BUG BOUNTY REDACTED.COM] How I Get 2000$ for Simple Bug

Halo sobat progress yang berbahagia, melanjutkan tulisan berikutnya terkait bug bounty yang saya temukan beberapa bulan lalu di salah satu situs yang cukup terkenal, maaf karena baru mood untuk menulis artikel terkait temuan ini.

Oke, bug ini saya temukan secara tidak sengaja ketika saya mendaftar pada website https://customers.redacted.com/ dimana terdapat fitur untuk registrasi akun dengan tidak perlu melakukan verifikasi terhadap email yang digunakan, padahal ini salah satu website yang cukup terkenal tapi kenapa tidak ada fitur verifikasi email..?? entahlah, yang jelas hanya si pemilik website dan si programmer yang tau jawabannya. 

Akhirnya saya mencoba meregistrasi beberapa akun dengan menggunkan email yang valid dan beberapa lainnya menggunakan official email milik mereka, ternyata benar saja tidak dibutuhkan verifikasi terhadap semua email-email tersebut. Impactnya apa, ini bisa menghalangi si pemilik email yang sah untuk melakukan registrasi ke situs yang sama, dikarenakan email tersebut sudah terlanjur di registrasi oleh attacker dan opsi yang dapat di gunakan pemilik email asli yaitu melakukan forgot password terhadap akunnya.

Namun terdapat fitur lain ketika seorang attacker sudah terlanjur mendaftarkan email milik si korban yaitu fitur untuk menghubungkan akun yang digunakan ke situs milik redacted.com dengan melakukan koneksi akun tersebut seperti mengkoneksikan akun kita ke akun google atau facebook  seperti yang terdapat pada beberapa website besar lainnya yang mengizinkan seorang user untuk mengkoneksikan akunnya ke beberapa social media, fitur ini juga yang menjadikan seorang attacker masih bisa menguasai akun milik korban kerena attacker sudah mengkoneksikan akun korban ke akun milik attacker. 

Nantinya walaupun korban sudah melakukan recovery terhadap akun miliknya namun dia tidak sadar bahwa attacker sudah mengkoneksikan akun lain miliknya pada fitur tersebut. Pada bug ini saya dihadiahi rewards yang alhamdulillah cukup besar yaitu 2000$.

Padahal awalnya hackerone team sempat menjadikan laporan ini sebagai Not Applicable (N/A),

namun yakinlah jika rezeki tidak akan kemana. Sekian dulu sharing kali ini semoga apa yang saya berikan bisa bermafaat dan maaf jika belum bisa menulis dengan baik, silahkan tanyakan jika ada yang ingin ditanyakan terkait bug ini ke @rootbakar (telgram). Saat ini bug tersebut sekarang sudah diperbaiki dan di berikan fitur verifikasi akun.

 

TIMELINE:

  • December 20, 2018 – Report
  • January 11, 2019 – Triaged
  • May 02, 2019 – Bug Fixed
  • May 02, 2019 – Bounty Rewarded

2 Comments

Leave a Response