Membuat voucher code dan menggunakannya untuk menambah saldo Tokocash

Hari ini saya mau membagikan POC vulnerability yang saya temukan pada tokopedia.

Introduction

Beberapa waktu lalu tokopedia membuat fitur baru , fitur tersebut di beri nama Tokopoints . Pada fitur tersebut memungkinkan pengguna untuk menukarkan point mereka dengan sebuah kupon (cashback, gratis ongkir dll). Point bisa di dapat setelah pengguna berhasil melakukan transaksi .

Pada fitur itu terdapat juga beberapa level member yaitu classic member, silver, gold dan platinum. Dan disitu di berikan juga kupon gratis yang dimana akun dengan level classic member bisa menukarkan 0 point mereka untuk mendapatkan gratis ongkir Rp 20.000

Description

Vulnerability yang saya temukan berawal dari kupon gratis ini , vulnerability ini memungkinkan seseorang (siapa saja) dapat meng generate code voucher secara terus menerus dan vouchernya bisa di redeem untuk menambah saldo tokocash, karena tidak ada nya pengecekan point, maka member dengan 0 point pun bisa menggenerate voucher cashback tokocash.

Mencari bug

Saya mencoba untuk menukarkan 0 point yang saya miliki untuk mendapatkan kupon gratis ongkir dan tidak lupa mengaktifkan burp suite untuk meng capture data yang akan dikirim.

Setelah berhasil menukar point dengan kupon lalu saya cek pada burp suite dan mengirim data melalui brup suite dengan harapan kupon bisa saya dapatkan lagi, Tapi itu tidak work 😂 😂

Disitu terlihat data berbentuk json yang akan dikirimkan, pada bagian catalog_id saya mencoba menggantinya dengan berbagai angka acak mulai dari 2,0,7,4,100 dst , yang saya dapat justru error pada response 😠 😠 , kecuali id 0 .

catalog_id: 0

Response tersebut saya dapatkan ketika mengubah nilai catalog_id menjadi 0 👌 👌

Karena tidak ada deskripsi atau keterangan nya maka saya tidak tahu kalau data tersebut adalah data voucher, R25LVHAK2U91

karena biasanya voucher code seperti ini (misalnya: MOTOR500, BANTOKPED dll) .

Setelah beberapa menit bingung 😂 akhirnya saya memutuskan untuk mencoba menggunakan nya pada halaman Checkout ,

Promo ini hanya dapat digunakan di Redeem Voucher. Yesss, saya baru tahu ketika mendapat pesan tersebut dan menyimpulkan bahwa itu adalah benar benar voucher valid 😂

Selanjutnya saya mencari tempat untuk redeem voucher itu , dan saya menemukan ini https://pulsa.tokopedia.com/gift-card/tokopedia/redeem/ dari sinilah voucher gift card dapat menjadi balance tokocash.

success redeem voucher
balance tokocash

Perlu diketahui bahwa 1 voucher nominalnya Rp 100.000 dan itu bisa di generate terus menerus ,walau saya hanya menggenerate beberapa saja untuk testing,tapi perkiraan saya sih tidak ada batas nya 😄

Melaporkan

Setelah berhasil membuat POC dan memastikan bahwa ini benar benar sebuah masalah , maka saya langsung melaporkannya .

Tokopedia merespon cepat dan langsung memperbaiki vulnerability ini hanya dalam waktu kurang dari 3 jam setelah email laporan saya kirim.

dan tokopedia menyatakan vulnerability ini masuk kategori critical severity.

Timeline

  • 17 Feb 2018 : Saya melaporkan ke tokopedia
  • 17 Feb 2018 : Tokopedia memverifikasi
  • 17 Feb 2018 : Bug diperbaiki
  • 17 Feb 2018 : Saya cek ulang , dan bug telah diperbaiki
  • 18 Feb 2018 : Saya menanyakan severity & kategori
  • 20 Feb 2018 : Memberikan info & meminta data diri untuk reward
  • 20 Feb 2018 : Saya memberikan data diri
  • 21 Mar 2018 : Reward dikirim