Sensitive Data Exposure: Take Over All Environment

Halo semuanya, kali ini saya mau menceritakan bagaimana saya bisa menemukan sebuah celah pada sebuah website salah satu website restoran cepat saji yang cukup terkenal di indonesia. Pertama selalu saya tegaskan pekerjaan saya yang utama bukan BugBounty hunter, tapi disini saya hanya kadang suka iseng mencari bug/pentesting diwaktu luang saya. Jadi, disini saya hanya pemula dan maaf jika ada salah salah kata.

Ok jadi mulai saja, untuk hal pertama entah kenapa saya hobby banget untuk melakukan sebuah Inspect Element pada sebuah website “kemungkinan fetish saya suka Inspect Element”, ok langsung aja Inspect Element lalu ke tab Sources

hmmm, tapi tidak ada yang menarik tidak ada yang bisa di intip 🥸.

Ok next ke tahap ke dua saya biasanya akan melakukan sebuah Subdomain Enumeration atau apalah itu sebut saja Mencari Subdomain, untuk tools yang biasanya saya pakai adalah :

https://suip.biz/?act=subfinder

Setelah saya coba masukin domainnya dan boom

Setelah mendapatkan list subdomain lalu saya buka satu satu subdomainnya, sampe list 1/5 kadang suka nyerah pas dibuka dan dicari bugnya tidak menemukan apa apa 😕. Tapi, saya tidak menyerah saat itu dan langsung mencoba lagi, dan akhirnya menemukan sesuatu dan saya tidak usah repot repot melakukan pencarian bug karena saya dikasih ENV secara cuma-cuma, jreng jreng….

Lalu setelah menemukan ENV tersebut saya mencoba beberapa data auth tersebut apakah bener bener active atau tidak, lalu saya coba credential mailgunnya dan jeng jeng

Bisa di EKSEKUSI!!!

Lalu saya penasaran ke dbnya untuk saya cek apakah db tersebut adalah db production atau bukan, lalu saya cek dan boom!

DB nya bisa dibuka dan saya asumsikan data tersebut benar data production, dan saya menemukan data karyawannya seperti nama, nik, nohp, alamat dll. Setelah itu saya bergegas mau melapor, tapi pas saya liat liat ini ko di user DB ini terdapat banyak DB juga dari perusahaan atau nama nama terkenal ya hmmm, dan setelah saya telusuri lagi ternyata sepertinya yang pembuat website website yang dbnya saya liat semua tadi adalah sebuah software house jadi tanpa pikir panjang langsung saya report via email

Alhamdulillah cepat di response dan subdomain tersebut langsung dimatikan, serta credentialnya sudah diganti

Timeline :

~ 19 Jan 2023 : Bug Reported

~ 20 Jan 2023 : Bug di confirm dan akan diberikan reward

~ 23 Jan 2023 : Reward Landed

Tapi setelah itu saya masih penasaran dengan beberapa subdomain lagi, karena kemaren setelah dapet bug tersebut langsung saya report jam 11:57 malam dan tidak ngecek lagi, karena besoknya harus kerja jadi saya bubu dulu 🫡.

Lalu keesokannya saya mencoba lagi subdomain nya, dan ada 1 lagi yang menurut saya mengganjal, ketika saya dapat halaman adminnya dan ada yang aneh muncul di browser saya

Hmmmm saya berpikir lama dan kayaknya pernah liat, dan saya teringat salah satu postingan temen FB saya yaitu mas manggala, pas dicek cek mirip

Lalu saya coba POC nya dari mas manggala dan booom!

Betul saja POCnya berhasil dan saya bisa tau email dan passwordnya, lalu saya coba login dan…..

booommmmm saya bisa login, lalu saya report kembali dengan timeline :

Timeline :

~ 24 Jan 2023 : Bug Reported

~ Now : Bug Fixed dan tidak ada response sama sekali.

Saya juga menemukan beberapa bug dari website buatan software house tersebut tapi tetep no response.

Ok thanks yang udah baca cerita kali ini, mohon maaf kalau belibet 🫣