Assalamualaikum temen temen , pada kali ini kita akan membahas tentang penemuan saya pada aplikasi Mister Aladin.
Sebelumnya iziinkan saya perkenalkan dulu apa sih Mister Aladin itu , ya Mister Aladin adalah sebuah platform di bawah naungan MNC Group dimana aplikasi ini lebih terfokus pada booking hotel , kereta , pesawat dan sejenis lainnya .
Semua berawal ketika saya iseng iseng pengen tidur di hotel tapi males ngeluarin uang lebih , akhirnya saya coba install aplikasi Mister Aladin untuk booking hotel ( niat nya ) .
Tapi… apakah data data saya akan aman ? Hmmmm ini selalu menjadi topik utama saya ketika ingin menggunakan sebuah aplikasi .
Tanpa berfikir panjang akhirnya saya mencoba untuk melakukan pengujian pada aplikasi ini , bermodal rasa penasaran akhirnya saya menemukan sebuah bug paramater tampering yang memungkinkan IDOR (Insecure Direct Object Reference) dimana data data transaksi dan data data user dapat kita lihat tanpa adanya filter atau validasi dari sisi server.
Waduh ngeri juga ya kalo sampe data data saya bisa di lihat orang lain , tanpa berfikir panjang akhirnya saya coba report ke pihak aladin , dan memang tidak ada tanggapan sama sekali .
Tapi saya tidak menyerah sampai situ , saya mencoba untuk tetap mencari tau kontak developernya agar segera di perbaiki , dan akhirnya saya mendapatkan kontak developer dari salah satu wartawan (Okta).
Timeline Bug Report
Report Bug yang kesekian kali : Sabtu 7 Desember 2019 11:39
Respon : Senin 9 Desember 2019 15:39
Pemberian Bounty : Sabtu 21 Desember 2019 (Gedung MNC )
Kalian tau apa bounty nya ?
Biasanya saya dapet uang dan sertifikat , tapi kali ini berbeda hehe saya mendapatkan 2 HELM.
Perhatian banget ya Aladin hehe.
Terimakasih Mister Aladin atas Bounty HELM nya, untuk saat ini Mister Aladin bisa di katakan sudah aman , but remember ! Security is Proses 🙂
