Terlalu cinta Twice, seorang hacker meretas website Humas Polri
Setelah 4 hari yang lalu Twice merilis lagu baru yang berjudul "Fancy" ternyata ada fans dari indonesia yang mencurahkan isi hatinya di website Divisi Humas Polri. Website tersebut diketahui sudah diretas beberapa jam yang lalu oleh hacker yang mengatasnamakan timnya " FAC (Inisial)" entah apakah dia seorang wibu atau hanyalah pecinta cewe korea.
Saya pun sempat kaget "WOW!" gila ya goaid dihack sama dia. usut punya usul ternyata dia mensoceng email PID Divisi Humas Polri dengan mengirim email atas nama personil / Pegawai Website tersebut. Di dalamnya hanya berisi :
Saya Cinta Twice
Dari kejadian ini kita bisa mengambil pelajaran bahwa jangan lupa untuk mengecek dari mana email tersebut terkirim. karena hacker tidak hanya beraksi lewat dunia cyber security, tapi bisa saja Social Enginnering. Olehkarena itu Pihak pihak Cusotomer Service wajib waspada bila ada kejadian serupa.
Sampai Artikel ini ditulis belum ada perbaikan dari website tersebut karena ini baru 30 menit setelah saya mendapatkan informasi dari hacker tersebut.
IDOR or Parameter Tampering was able me to pay less than they should
[ Indonesia ]
Halo Selamat datang diwebsite saya, kali ini saya akan berbagi pengalaman saya menemukan Bug Parameter Tampering di sebuah website yang memiliki program bug bounty. sayangnya bug yang saya temukan ini duplicate dan belum dipatch sehingga saya akan mensensor website tersebut. baiklah mari baca awal mula saya menemukan bug ini.
The Stories
Saya sedang bermain game pada waktu itu, sampai saya bosen karena koneksi nya lemot. Akhirnya saya memutuskan untuk keluar game, dan saya seperti biasa nonton youtube dengerin lagu, typerace sama anas anas. Dan saya bicara dalam hati “Duh bosen nih, Iseng ah cari cari bug kali aja nemu hehehe”. Okelah setelah itu saya tertuju ke salah satu platform bug bounty dan interested dengan suatu program yang ada disana.
Setelah 20 Menit mencari saya menemukan Celah yang membuat saya bisa membeli salah satu item yang ada di suatu PAKET ITEM. Tapi setelah saya cek lebih dalam hanya work pada paket yang isinya free. Saya bingung, paket item tersebut seharga 20ribu tapi setelah dibypass saya tidak perlu bayar dan dibawa kehalaman pemilihan item, dan boom item tersebut jadi gratis, lalu saya mencobanya dan berhasil. saat itu saya sudah mau menulis laporan tapi karena saya masih penasaran, saya pun mencoba paket lain. Ternyata jika item didalam paket tersebut masih bayar kita tidak bisa memakainya. jadi saya menyimpulkan wah ini mah bugnya hanya “Membeli item secara satuan dengan parameter tampering” sehingga saya ragu. tapi dalam benak saya “Wah ini kayanya bug nya bagus deh soalnya dia gk bisa beli satuan, tapi kalo di bypass dia bisa beli”. Ane pun seneng tuh, Eh saat ane dorking di google ternyata paketan satuan tersebut bisa didorking. Saya langsung sedih karena gagal senang :’V.
Saya sempet Istirahat sekitar 15 menitan trus saya mendapat wahyu “Oh iya kenapa engga Coba parameter Top Up ?”
Saya pun merubah parameter hg dengan nominal 1000 karena jika nominalnya 0 server nya menolak. Dan setelah saya forward dia berhasil, saya pun mulai tertawa sendiri dan seneng banget coy.
Disitu tertulis total yang harus dibayar hanya 1000 dan itemnya seharga 500000. tapi disitu tertulis tidak ada metode pembayaran yang tersedia akhirnya parameter tipe= saya ganti dari 2 jadi 1. disitu tersedia pembayaran via bank. saya pun langsung membayarnya dan Pembayaran sukses :)
Saya Pun membuat laporan dan melaporkannya ke Pihak mereka. Setelah seminggu menunggu ternyata Laporannya dianggap Duplicate dengan severity HIGH.
Cukup sekian itu aja yang bisa saya bagikan, have a nice day :D
Timeline : 14 April = Found & Reported to their team 22 April = Accepted as Duplicate Severity : High Rewarded : SWAG as appreciation
English Language at my medium story @androgaming1912
![Fix / Patch Bug SQL injection [ Protect Website From Hacker ]](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgYbyKAmzSEKHktv_wzQx4m7_e0_nSYU853qO7c62v8OfVYUjoTbdhRAFkaBtZjnFw8tB5Yhkn3a2AYyHMvK6ukSyYyFx7lHxCR8O-h3k6tj8Z_pXFcNFmjngMoJsdYlPXzUzbuGqe97opD/s72-c/sqli.jpg "Fix / Patch Bug SQL injection [ Protect Website From Hacker ]")
![[BUGBOUNTY] Able to see everyone original url on ADFLY](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi-hSEPdoum7hkh1Db8ffKuMaHzBJ_PKtbZZeiSbuhu7hxhk9nPHLi4eMHZVkkc27EAA1dmfXgvzOPvoQIAbNA4yZlkKtgxzEB4jnTUjIz2n6HSyFgB3ffU4_rqv7es6oRbsd3VuqNI_G6N/s72-c/adfly.jpg "[BUGBOUNTY] Able to see everyone original url on ADFLY")
