Bocornya Data User & Transaksi di Aplikasi Mister Aladin - Bounty Hunter - Ngoprek IT

mister aladin - logo

BOUNTY HELM DARI MISTER ALADIN

Ngoprekit.com - Dilansir artikel Mas TenWap, Assalamualaikum temen temen , pada kali ini kita akan membahas tentang penemuan saya pada aplikasi Mister Aladin.

Sebelumnya iziinkan saya perkenalkan dulu apa sih Mister Aladin itu , ya Mister Aladin adalah sebuah platform di bawah naungan MNC Group dimana aplikasi ini lebih terfokus pada booking hotel , kereta , pesawat dan sejenis lainnya .

Semua berawal ketika saya iseng iseng pengen tidur di hotel tapi males ngeluarin uang lebih , akhirnya saya coba install aplikasi Mister Aladin untuk booking hotel ( niat nya ) .

Tapi… apakah data data saya akan aman ? Hmmmm ini selalu menjadi topik utama saya ketika ingin menggunakan sebuah aplikasi .

Tanpa berfikir panjang akhirnya saya mencoba untuk melakukan pengujian pada aplikasi ini , bermodal rasa penasaran akhirnya saya menemukan sebuah bug paramater tampering yang memungkinkan IDOR (Insecure Direct Object Reference) dimana data data transaksi dan data data user dapat kita lihat tanpa adanya filter atau validasi dari sisi server.

Data User yang terdetect Mas TenWap 
Data Trabsaksi yang terdetect Mas TenWap

Waduh ngeri juga ya kalo sampe data data saya bisa di lihat orang lain , tanpa berfikir panjang akhirnya saya coba report ke pihak aladin , dan memang tidak ada tanggapan sama sekali .

Baca Juga : Beli Google Play Card 500 Ribu cuma Bayar 10 PERAK di Aplikasi DOKU WALLET, Kok Bisa? 

Report ke 3x pada tanggal 19 nov 2019

Tapi saya tidak menyerah sampai situ , saya mencoba untuk tetap mencari tau kontak developernya agar segera di perbaiki , dan akhirnya saya mendapatkan kontak developer dari salah satu wartawan (Okta).

Timeline Bug Report

Report Bug yang kesekian kali : Sabtu 7 Desember 2019 11:39

Respon : Senin 9 Desember 2019 15:39

Pemberian Bounty : Sabtu 21 Desember 2019 (Gedung MNC )

Kalian tau apa bounty nya ?

Bounty dari Mister Aladin untuk Mas TenWap

Biasanya saya dapet uang dan sertifikat, tapi kali ini berbeda hehe saya mendapatkan 2 HELM.

Perhatian banget ya Aladin hehe.

Terimakasih Mister Aladin atas Bounty HELM nya, untuk saat ini Mister Aladin bisa di katakan sudah aman , but remember ! Security is Proses :)

Winardi Adji Prasetyo ~

Sumber : https://medium.com/@mastenwap/bounty-helm-dari-mister-aladin-287ec52aaf0c