PIZZA HUT ORDER 1 JUTA CUMA BAYAR 16RIBU!!! Serius? - Bounty Hunter

id.wikipedia.org - pizza hut

VULNERABILITY PARAMETER TAMPERING IN PIZZA HUT DELIVERY
( KERUSAKAN DAN KERENTANAN PARAMETER PADA  PIZZA HUT DELIVERY )

Ngoprekit.com - dilansir artikel Mas TenWap, Assalamualaikum temen temen , pada kali ini kita akan membahas tentang penemuan saya pada Aplikasi Pizza Hut Delivery (PHD).

Jadi sebetulnya saya sudah cukup lama menemukan temuan ini hanya saja bugnya baru di perbaiki beberapa bulan belakangan ini , Loh kok lama ? nanti saya jelaskan di bawah.

Tepatnya pada tanggal 8 Januari dan kondisi perut sedang lapar laparnya akhirnya saya dan teman teman memutuskan untuk memesan makanan dari aplikasi , dan terlintas lah ingin makan PHD yang pada saat itu sedang PROMO .

laporan mas tenwap ke cs phd

Seperti biasa , karena saya tipe orang yang penasaran dan suka mengulik system milik orang lain . Akhirnya saya putuskan untuk mencoba pentes terhadap aplikasi tersebut.

Awalnya saya menemukan parameter tampering pada perubahan nomor handphone , jadi user bisa merubah nomer handphone tanpa perlu OTP. Ini juga sudah termasuk fatal tapi saya masih kurang tertarik.

Dan pada akhirnya saya menemukan sebuah celah dimana saya bisa memanipulasi harga pembelian , dari harga 1jt hanya cukup membayar 16 Ribu saja. ( MMAANNTTAAPP )

aplikasi yang digunakan mas tenwap

Jadi pada parameter amount bisa kita manipulasi sesuka hati loh , wah gile gile gile. Sempat terlintas untuk beli banyak dan di bagi bagi ke orang susah tapi kayanya tidak etis ya kawan kawan jadi saya hanya beli beberapa dan di bagikan ke kurir yang antar serta akang tukang parkir yang mungkin tidak pernah merasakan makan pizza sebelumnya.

proses ketika ingin bayar lewat aplikasi doku

proses ketika sudah di bayar lewat aplikasi doku

Makanan sebanyak itu hanya 17 Ribu ? WOW kenyang banget dong pada saat itu , berhubung saya orangnya baik hati dan tidak sombong jadi saya coba laporkan ke admin terkait sampai 20x lebih dan dengan birokrasi yang ribet.

Bahkan saya pernah di omelin dengan CS yang angkat telfonnya loh, padahal niat saya baik . “Maaf pak sudah saya sampaikan ke pihak terkait , kami tidak ada wewenang buat lebih lanjut”

Akhirnya saya ga telfon telfon lagi sampai akhirnya saya merasa bahwa ini harus benar benar di kasih tau, saya cari lah informasi di linkedin dan nemu beberapa cs yang sama aja ga membantu .

Pada akhirnya ketemu dengan pak Zuhdi, dan bug pun di tutup.,

Padahal saya tidak mengharap bounty, saya hanya ingin bugnya di perbaiki saja, kan sayang kalo jatuh ke tangan yang salah ya sobat. 

kode 2777800 - order ke-1 mas tenwap

kode 2777800 - order ke-2 mas tenwap

Valid ya kalo lihat dari gambar di atas . ( Ada 2 orderan yang nomilanya hampir 1 Juta )

bukti pizza sudah datang sebagian sudah dibagiin

Sebetulnya sampai saat ini saya belum mendapat izin dari PHD untuk menulis artikel ini, karena pihak developernya sangat sibuk dan susah di hubungi. Tapi setelah saya dengar kabar bahwa sudah di perbaiki saya jadi tenang dan tidak akan di gunakan oleh anak anak heker untuk keperluan diri sendiri.

Tapi jika ada teguran ataupun keberatan dari pihak terkait maka postingan ini akan saya hapus. Sebetulnya saya menulis ini hanya untuk blog pribadi saja buat cerita di masa depan ke anak saya, bahwa ayahnya dulu bisa meretas sistem sebesar PHD dan bisa saja di bagikan ke orang susah seperti Robin Hood.

bukti percakapan mas tenwap dengan pihak pizza hut

Tapi untuk pemesanan saya sudah mendapat izin dan tidak ilegal ya temen temen, jadi jangan di tiru yang tidak baik baiknya :).

Tapi manusia tidak lepas dari khilaf sih haha.

Pada saat penulisan artikel ini saya belum mendapat izin untuk mempublikasi , tapi berhubung sudah hampir 1 tahun jadi saya asumsikan bahwa tidak masalah ( karena aplikasi sudah baru juga ) jika memang ada keberatan dari pihak PHD maka cerita singkat ini akan saya delete.

Tidak ada bounty, baik sertifikat maupun lain-lainnya. Tapi saya sudah cukup puas bisa makan pizza dan berbagi ke orang lain :)

Sukses terus buat PHD kedepannya.

Timeline Bug Report

Report Bug : Senin 08 January 2020 00:34

Respon Bug : Kamis 14 Mei 2020 12:04

Ganti aplikasi : Kamis 30 July 2020 10:31

Terimakasih PHD atas pizzanya , untuk saat ini bisa di katakan sudah aman , but remember ! Security is Proses :)

Winardi Adji Prasetyo ~ @ Repost

Sumber : https://medium.com/@mastenwap/vulnerability-parameter-tampering-in-pizza-hut-delivery-d130a8a4d040