[*] Bug Bounty Tokopedia
Tokopedia.com merupakan salah satu pusat perbelanjaan daring di Indonesia yang mengusung model bisnis marketplace. Didalam marketplace sudah pasti akan banyak pengguna yang mendaftar. Dan Tokopedia juga sangat mengutamakan masalah keamanan pada sistemnya. Maka dari itu tokopedia mengadakan sebuah program bug bounty bagi siapapun yang dapat menemukan celah pada sistem tokopedia. Untuk lebih jelas mengenai program tersebut dapat di baca pada https://github.com/tokopedia/Bug-Bounty

[*] Proof of Concept (POC)
Alur yang digunakan pada system tokopedia untuk dapat merubah nomor telepon yang kita gunakan harus melalui beberapa validasi yaitu validasi password,konfirmasi email,serta pengiriman kode OTP ke nomor yang baru. Tujuan validasi tersebut untuk mengamankan akun agar data yang kita miliki tidak dapat di rubah dengan mudah.
Beberapa bulan yang lalu saya mencoba mencari sebuah bug pada web tokopedia, lalu saya mencoba mencari pada fitur "Ubah Biodata Diri".
Pada fitur tersebut terdapat beberapa list biodata diri seperti nama,tanggal lahir,dan sebagainya termasuk nomor HP yang tertera. Dan untuk merubah nomor HP terdapat link "Ubah Nomor".
Dalam proses perubahan nomor telepon/HP diharuskan menginputkan password valid pada saat kita login ke akun tokopedia,tanpa password tersebut kita tidak akan bisa mengubah nomor telepon/HP.

Saya mencoba kembali kehalaman "Ubah Biodata Diri".
Disana terdapat tombol yang digunakan untuk menyimpan perubahan data yang dilakukan,seperti tanggal lahir atau jenis kelamin yang dapat diubah pada tampilan. untuk melihat action apa yang dilakukan saat menyimpan biodata tersebut, saya mencoba melakukan intercept request data menggunakan "Burp Suite".

Setelah dilakukan intercept data berikut data yang saya peroleh :
Pada intercept data bahwa fitur simpan biodata melakukan request data dengan mengirimkan semua parameter yang terdapat pada list biodata diri termasuk juga parameter nomor telepon/HP,maka dari itu saya mencoba melakukan perubahan nomor telepon/HP melalui parameter tersebut. Nomor yang sebelumnya xxxxxxxx557 menjadi xxxxxxxx555.
Setelah dilakukan perubahan pada parameter msisdn terdapat pemberitahuan bahwa perubahan biodata diri berhasil
Muat ulang halaman dan nomor terlepon berubah dengan nomor yang dikehendaki tanpa melalui proses yang seharusnya.

[*] Video POC : Bypass OTP Verification On Change MSISDN Number

[*] Timeline Tokopedia
  • 19/11/2017 - Report Ke Tokopedia
  • 19/11/2017 - Report Dinyatakan Valid Oleh Tokopedia dengan severity "MEDIUM"
  • 21/11/2017 - Bug Fixed
  • 21/11/2017 - Meminta Data Diri dan Nomor Rekening
  • 13/12/2017 - Reward Diterima
  • 03/01/2018 - Memberikan apresiasi berupa sertifikat

[*] Catatan
Tulisan ini sudah mendapatkan persetujuan dari pihak terkait sebelum di publikasikan