Tokopedia Bug Bounty – User’s Private Information Disclosure

Hi everyone…..
Kali ini saya mau share ke kalian tentang User’s Private Information Disclosure on Tokopedia Payment yaitu sebuah kerentanan pada situs Marketplace Tokopedia yang mempunyai dampak tereksposnya data privasi semua pengguna yang pernah berbelanja disana, ya termasuk data privasi saya sendiri.

Saya yakin mereka dan termasuk saya sendiri sangat ingin ketika berbelanja dijamin keamanan transaksinya tidak terlepas hanya soal pada proses jual-beli dengan penjualnya seperti soal kekhawatiran ditipu, drama retur dan claim asuransi saat masalah proses pengiriman. Tetapi juga soal apakah data privasi kita aman seperti data transaksi kita itu sendiri. Yang dikhawatirkan adalah bagaimana jika data itu dicuri dan disalahgunakan oleh orang yang tidak bertanggungjawab. Wait…ya distulah komunitas Bug Hunter ikut andil dalam menyelamatkan data kalian 😁😁😁

Back to the issue..

Jadi saya telah menemukan bug ini pada bulan Oktober 2019 kemudian dengan cepat saya langsung report ke Tim Internal Tokopedia. Ketika itu saya sedang berselancar di tokopedia untuk berbelanja sambil mengcapture lalu lintas datanya menggunakan inspek element + Burp Suite untuk melihat-lihat. Ketika sampai di tahap selesai memilih metode pembayaran (waktu itu saya memilih VA Mandiri) dan mendapatkan kode bayar, saya mencoba melihat payload HTML untuk melihat ada apa di balik UI ini 😁😁😁 disitu saya melihat ada script yang menampilkan data singkat dari transaksi pengguna.

Singkat cerita saya coba memodifikasi nilai parameter request yang mengarah ke endpoint https://pay.tokopedia.com/v2/payment/thanks/MANDIRIVA berharap ada bug IDOR disini. Saya mencoba mengganti nilai parameter transaction_id lalu saya kirim….wait…what?!?!?!
Ternyata data transaksi user sesuai dengan transaksi id yang diminta tetap ditampilkan di payload. Secara visual halaman yang ditampilkan adalah halaman error. Saya berpikir ini mungkin bisa juga di akses tanpa cookie. Ketika request http saya kirim tanpa cookie….wait….

Setelah melakukan beberapa percobaan saya menyimpulkan bahwa semua data transaksi di Tokopedia termasuk data internal tokopedia (maybe tim engineer yang hanya melakukan tes) pada transaksi produk fisik dan digital (yang sudah saya coba) dapat diakses berdasarkan transaksi id dan tanpa cookie yang terautentikasi. Dari sini saya mencoba membuat script tool untuk mendownload/mengambil semua (jutaan) data transaksi berdasarkan transaksi id yang berurutan….wait…lihat di video PoC.

Timeline:
  • 31 Oktober 2019: Report
  • 01 November 2019: Tokopedia mengkonfirmasi Bug sudah ditemukan terlebih dahulu oleh Tim Internal
  • ——– BUG FIXED ——–

Share:

More Posts