How I Got 10.000.000 IDR Reward from 1CAK Bug Bounty

Thursday, July 21, 2016

Oke kali ini saya tidak menulis tutorial mengenai Linux ataupun Security. Saya hanya akan menulis pengalaman saya mendapatkan reward dari 1CAK sebesar Rp.10.000.000,- tadi siang. Sebenarnya tindakan saya melaporkan bug ini terinspirasi post mas Herdian Nugraha yang mendapatkan 25juta dari Bukalapak dan Tokopedia.

Sebelumnya saya tegaskan bahwa saya BUKAN orang pertama yang menemukan celah di 1CAK. Namun mungkin orang pertama yang melaporkan celah tersebut ke webadmin 1CAK.
Saya pernah menulis artikel ketika 1cak.com diretas dua hari yang lalu.
Sampai disitu sebenarnya saya tidak tertarik samasekali untuk mengeksploitasi situs 1CAK. Cukup sebagai reporter saja.
Nah tadi subuh ketika asik twitter an saya melihat twit dari akun @onecak di timeline yang mengatakan 1CAK maintenance. Disaat yang sama ketika saya buka 1cak.com ada notif "failed to connect database"
Saya pun penasaran dan ketika situs 1cak.com sudah up kembali saya coba menggunakan exploit ImageTragick untuk mendapat akses server 1cak. Dan benar saja ternyata berhasil !
Writeup nya sudah saya tulis disini :

Selanjutnya saya melaporkan bug tersebut ke email info@1cak.com .
Tidak sampai 5 menit email saya dibalas dengan jawaban mereka sedang mencoba melakukan patching.
Kemudian mereka mengirim email kembali kalau sudah dilakukan patching dan saya disuruh mencoba apakah masih bisa diexploit atau tidak.
Ketika saya coba ternyata sudah tidak bisa, dan saya yakin kalau menag sudah di patch, mereka mengirim email kembali menyuruh saya mengirimkan nomor rekening.
Hingga tidak sampai 30menit mereka mengirim Rp.10.000.000,- ke akun bank saya.

Disini saya tidak akan membahas nilai dari reward yang mereka berikan. Itu sudah lebihd ari cukup bagi saya.
Namun tindakan mereka yang secara cepat merespon laporan bug, ramah saat membalas email, mungkin agak mengubah pandangan saya terhadap webadmin Indonesia.
Perlu diketahui ini bukan pertamakali saya melaporkan bug ke webadmin situs yang memiliki celah, khususnya situs situs pemerintah. Namun jangankan mengucapkan terimakasih, bahkan email saya tidak pernah dibalas. Atau mungkin malah tidak pernah dibaca. Sekalinya dibalas pun isinya cacimaki menceramahi saya katanya masuk secara ilegal bla bla bla...

Oke mungkin sekian saja dari saya, semoga menjadi motivasi. Bahkan celah yang bagi kita terlihat sepele pun bisa mendatangkan rejeki jika kita mau bekerjasama dengan webmaster dari situs yang bersangkutan.
Salam, Jack Wilder.

Artikel Terkait Artikel ,Bug Bounty ,Security

28 comments:

  1. hoki bang XD giveaway nya ditunggu :v

    ReplyDelete
  2. Mantapp, kalo pemerintah kayanya kurang peduli thd webnya, pdhl kan biaya buatnya dimahal²in ,bukannya dpt rewards ntar yg ada malah ditangkep gan :)

    ReplyDelete
  3. mantapp (y) kalo web pemerintah yg diexploit, boro-boro dapet 10 juta, dipenjara yg ada :v

    ReplyDelete
  4. Gurih oy pemerintah mah gitu bang sabar

    ReplyDelete
  5. kalau blogger yang dicostum domain masih bisa ada bug gak gan?

    ReplyDelete
  6. Pemerintah jangan harap terima kasih dari mereka, ngajak korupsi mau.

    ReplyDelete
  7. Kalau mau test bug sama agan berapa? Trims

    ReplyDelete
  8. https://www.facebook.com/lastc0de/posts/1075193235902547

    Sakit loh mas di tusuk dari belakang,apalagi teman :))

    ReplyDelete
  9. ciri server yg pakai imagemagic gmana mas?

    ReplyDelete
  10. Keren. jadi tertarik sama hacking!

    ReplyDelete
  11. ada pin BBM mas ? pengen tanya tanya

    ReplyDelete
  12. uang nya jangan di habisin beli berhala mz :3
    wkwkkwk

    ReplyDelete
  13. uang nya jangan di habisin beli berhala mz :3
    wkwkkwk

    ReplyDelete
  14. Wih hoki dong bang abang sampe dimasukin wancak loh karena hal itu����

    ReplyDelete
  15. This comment has been removed by a blog administrator.

    ReplyDelete
  16. Keren ente maz (y) ,sabar aja maz kalo ga ditanggepin :3 saya juga pengalaman kok :v Pemerintahan jaman sekarang mah gitu da orang orangnya ga tau terima kasih

    ReplyDelete
  17. keren bang. ente belajar dimana ?

    ReplyDelete