How I Got 10.000.000 IDR Reward from 1CAK Bug Bounty

Kamis, 21 Juli 2016

Oke kali ini saya tidak menulis tutorial mengenai Linux ataupun Security. Saya hanya akan menulis pengalaman saya mendapatkan reward dari 1CAK sebesar Rp.10.000.000,- tadi siang. Sebenarnya tindakan saya melaporkan bug ini terinspirasi post mas Herdian Nugraha yang mendapatkan 25juta dari Bukalapak dan Tokopedia.

Sebelumnya saya tegaskan bahwa saya BUKAN orang pertama yang menemukan celah di 1CAK. Namun mungkin orang pertama yang melaporkan celah tersebut ke webadmin 1CAK.
Saya pernah menulis artikel ketika 1cak.com diretas dua hari yang lalu.
Sampai disitu sebenarnya saya tidak tertarik samasekali untuk mengeksploitasi situs 1CAK. Cukup sebagai reporter saja.
Nah tadi subuh ketika asik twitter an saya melihat twit dari akun @onecak di timeline yang mengatakan 1CAK maintenance. Disaat yang sama ketika saya buka 1cak.com ada notif "failed to connect database"
Saya pun penasaran dan ketika situs 1cak.com sudah up kembali saya coba menggunakan exploit ImageTragick untuk mendapat akses server 1cak. Dan benar saja ternyata berhasil !
Writeup nya sudah saya tulis disini :

Selanjutnya saya melaporkan bug tersebut ke email info@1cak.com .
Tidak sampai 5 menit email saya dibalas dengan jawaban mereka sedang mencoba melakukan patching.
Kemudian mereka mengirim email kembali kalau sudah dilakukan patching dan saya disuruh mencoba apakah masih bisa diexploit atau tidak.
Ketika saya coba ternyata sudah tidak bisa, dan saya yakin kalau menag sudah di patch, mereka mengirim email kembali menyuruh saya mengirimkan nomor rekening.
Hingga tidak sampai 30menit mereka mengirim Rp.10.000.000,- ke akun bank saya.

Disini saya tidak akan membahas nilai dari reward yang mereka berikan. Itu sudah lebihd ari cukup bagi saya.
Namun tindakan mereka yang secara cepat merespon laporan bug, ramah saat membalas email, mungkin agak mengubah pandangan saya terhadap webadmin Indonesia.
Perlu diketahui ini bukan pertamakali saya melaporkan bug ke webadmin situs yang memiliki celah, khususnya situs situs pemerintah. Namun jangankan mengucapkan terimakasih, bahkan email saya tidak pernah dibalas. Atau mungkin malah tidak pernah dibaca. Sekalinya dibalas pun isinya cacimaki menceramahi saya katanya masuk secara ilegal bla bla bla...

Oke mungkin sekian saja dari saya, semoga menjadi motivasi. Bahkan celah yang bagi kita terlihat sepele pun bisa mendatangkan rejeki jika kita mau bekerjasama dengan webmaster dari situs yang bersangkutan.
Salam, Jack Wilder.

Artikel Terkait Artikel ,Bug Bounty ,Security