Kamis, 21 Juli 2016

Tokopedia dan Bukalapak Dibobol

Cahgalek.com - Seorang pemuda bernama Herdian Nugraha berhasil membobol situs e-commerce Bukalapak, Tokopedia, dan Sribu. Hardian membobol ketiga situs tersebut melalui fitur upload gambar.

Setelah menemukan celah ketiga situs tersebut, Hardian menjajal membobolnya dan berhasil, dia hanya mendokumentasikan berbagai hal terkait kelemahan itu. Celah keamanan yang berada di fitur upload itu terkait dengan alat pemrosesan gambar bernama ImageMagick.
ImageMagick memungkinkan seseorang mendapatkan hak akses penuh ke server, misalnya melihat informasi penting, seperti akun dan password pengguna.

Dokumentasi celah keamanan itu pun akhirnya diserahkan Herdian pada Tokopedia, Bukalapak, dan Sribu pada Juni lalu dan langsung mendapat respons dari masing-masing situs.

Berdasarkan informasi tersebut, ketiga situs tersebut langsung menutup celah keamanan yang dilaporkan Herdian.
Dikutip Kompas.com, Rabu (20/7/2016), Bukalapak juga merespons laporan dengan memberi ucapan terima kasih kepada Herdian berupa uang Rp 15 juta, Tokopedia memberikan sertifikat dan uang Rp 10 juta, sedangkan Sribu mengucapkan terima kasih.

Dalam situs blog pribadinya, Herdian membeberkan metode pembobolannya. Ia mengakses server ketiga situs dengan memanfaatkan celah keamanan bernama ImageTragick.

Untuk membobol server, Herdian kemudian membuat file MVG (ImageMagick Vector Graphic) yang telah dimodifikasi yang kemudian disimpan dalam format JPG/PNG/GIF untuk diunggah di situs Tokopedia, Bukalapak, dan Sribu. Setelah file gambar yang dimodifikasi itu diunggah, Herdian pun mendapatkan hak penuh akses server di ketiga situs.

Di sana, ia bisa mendapatkan data penting, seperti alamat e-mail dan password pengguna. "Sebenarnya jika konfigurasi server-nya lemah, mungkin satu sistem itu sudah bisa kontrol dan beberapa data-data pengguna bisa diambil," terang Herdian.

Di antara ketiga target yang dicoba oleh Herdian, sebenarnya lapisan keamanannya cukup baik. Namun Bukalapak diakuinya cenderung lebih sulit karena secara rutin meng-update sistem. Langkah-langkah yang diungkap oleh Herdian terlihat sederhana namun sesungguhnya memerlukan kemampuan pemrograman yang cukup mumpuni.

Untuk tahu lebih lengkap cara Hardian membobol Tokopedia, Bukalapak dan Sribu silahkan kunjungi situs pribadinya https://blog.hrdn.us/

Advertiser