How I Got 10.000.000 IDR Reward from 1CAK Bug Bounty

Kamis, 21 Juli 2016

Oke kali ini saya tidak menulis tutorial mengenai Linux ataupun Security. Saya hanya akan menulis pengalaman saya mendapatkan reward dari 1CAK sebesar Rp.10.000.000,- tadi siang. Sebenarnya tindakan saya melaporkan bug ini terinspirasi post mas Herdian Nugraha yang mendapatkan 25juta dari Bukalapak dan Tokopedia.

Sebelumnya saya tegaskan bahwa saya BUKAN orang pertama yang menemukan celah di 1CAK. Namun mungkin orang pertama yang melaporkan celah tersebut ke webadmin 1CAK.
Saya pernah menulis artikel ketika 1cak.com diretas dua hari yang lalu.
Sampai disitu sebenarnya saya tidak tertarik samasekali untuk mengeksploitasi situs 1CAK. Cukup sebagai reporter saja.
Nah tadi subuh ketika asik twitter an saya melihat twit dari akun @onecak di timeline yang mengatakan 1CAK maintenance. Disaat yang sama ketika saya buka 1cak.com ada notif "failed to connect database"
Saya pun penasaran dan ketika situs 1cak.com sudah up kembali saya coba menggunakan exploit ImageTragick untuk mendapat akses server 1cak. Dan benar saja ternyata berhasil !
Writeup nya sudah saya tulis disini :

Selanjutnya saya melaporkan bug tersebut ke email info@1cak.com .
Tidak sampai 5 menit email saya dibalas dengan jawaban mereka sedang mencoba melakukan patching.
Kemudian mereka mengirim email kembali kalau sudah dilakukan patching dan saya disuruh mencoba apakah masih bisa diexploit atau tidak.
Ketika saya coba ternyata sudah tidak bisa, dan saya yakin kalau menag sudah di patch, mereka mengirim email kembali menyuruh saya mengirimkan nomor rekening.
Hingga tidak sampai 30menit mereka mengirim Rp.10.000.000,- ke akun bank saya.

Disini saya tidak akan membahas nilai dari reward yang mereka berikan. Itu sudah lebihd ari cukup bagi saya.
Namun tindakan mereka yang secara cepat merespon laporan bug, ramah saat membalas email, mungkin agak mengubah pandangan saya terhadap webadmin Indonesia.
Perlu diketahui ini bukan pertamakali saya melaporkan bug ke webadmin situs yang memiliki celah, khususnya situs situs pemerintah. Namun jangankan mengucapkan terimakasih, bahkan email saya tidak pernah dibalas. Atau mungkin malah tidak pernah dibaca. Sekalinya dibalas pun isinya cacimaki menceramahi saya katanya masuk secara ilegal bla bla bla...

Oke mungkin sekian saja dari saya, semoga menjadi motivasi. Bahkan celah yang bagi kita terlihat sepele pun bisa mendatangkan rejeki jika kita mau bekerjasama dengan webmaster dari situs yang bersangkutan.
Salam, Jack Wilder.

Artikel Terkait Artikel ,Bug Bounty ,Security

28 komentar:

Zacty Yoga mengatakan...

hoki bang XD giveaway nya ditunggu :v

dimas agus mengatakan...

vroh ente pake linux apa?

Irfan Nurfaiq mengatakan...

luvyuyud

Anonim mengatakan...

Mantapp, kalo pemerintah kayanya kurang peduli thd webnya, pdhl kan biaya buatnya dimahal²in ,bukannya dpt rewards ntar yg ada malah ditangkep gan :)

Anonim mengatakan...

mantapp (y) kalo web pemerintah yg diexploit, boro-boro dapet 10 juta, dipenjara yg ada :v

Film Zonen mengatakan...

Gurih oy pemerintah mah gitu bang sabar

priangga otviapta mengatakan...

Mantap lanjutkan

runganSport mengatakan...

kalau blogger yang dicostum domain masih bisa ada bug gak gan?

Rully Nur'mansyah mengatakan...

ntapss pak

Riza Mirza mengatakan...

Pemerintah jangan harap terima kasih dari mereka, ngajak korupsi mau.

Pramudya Ksatria Budiman mengatakan...

Keren. Selamat!

Muhamad Eko Saputra mengatakan...

Kalau mau test bug sama agan berapa? Trims

Jane Haskell mengatakan...

https://www.facebook.com/lastc0de/posts/1075193235902547

Sakit loh mas di tusuk dari belakang,apalagi teman :))

LOADING KURA KURA mengatakan...

ciri server yg pakai imagemagic gmana mas?

Anonim mengatakan...

Keren. jadi tertarik sama hacking!

Cara Buka Website Versi Mobile di Komputer via Google Chrome mengatakan...

keren, bisa bisa agan diangkat jadi karyawan onecak juga :)

Iskandar mengatakan...

wah keren (y)

Sobat Pendidik mengatakan...

kren

Ibnu Sina mengatakan...

1cak #respect

Anonim mengatakan...

ada pin BBM mas ? pengen tanya tanya

M. Aldin Yulis Setiawan mengatakan...

uang nya jangan di habisin beli berhala mz :3
wkwkkwk

M. Aldin Yulis Setiawan mengatakan...

uang nya jangan di habisin beli berhala mz :3
wkwkkwk

Gumball Watterson mengatakan...

Wih hoki dong bang abang sampe dimasukin wancak loh karena hal itu����

Kirito- Kun mengatakan...

traktiran bos :D

Rotan Sintetis mengatakan...
Komentar ini telah dihapus oleh administrator blog.
Anonim mengatakan...

Keren ente maz (y) ,sabar aja maz kalo ga ditanggepin :3 saya juga pengalaman kok :v Pemerintahan jaman sekarang mah gitu da orang orangnya ga tau terima kasih

andre mengatakan...

keren bang. ente belajar dimana ?

Jack Wilder mengatakan...

kalo gak tau kronologinya diem aja

Posting Komentar