Bagaimana saya mendapatkan informasi sensitif Tokopedia

Share:


Bagaimana saya mendapatkan informasi sensitif Penjual di Tokopedia ? pada tanggal 07 Januari 2019 saya melaporkan bug / celah pada tokopedia tentang kebocoran data berupa Nomor Hp , Email dan Alamat toko.

Bagaimana saya cara menemukanya ? 

Untuk menemukan bug ini tidak terlalu sulit , hanya mengandalkan sebuah curl pada situs tokopedia dan regex untuk parsing datanya.



  1. Carilah toko di tokopedia 
  2. Rubahlah menjadi https://m.tokopedia.com/namatoko 
  3. Lalu masukan perintah di terminal : curl https://m.tokopedia.com/namatoko 
  4. Cari dibagian bawah nanti kalian akan menemukan datanya.
Mencoba menganalisa lebih dalam lagi , ketika kita mengujungi https://m.tokopedia.com/namatoko lalu kita buka source code nya tidak ditemukan data apa pun , benar ? kenapa bisa seperti itu ?  setelah saya cek ternyata data tersebut ditampilkan hanya untuk para 'BOT' atau yang meminta data user-agent nya tidak di setting. 


" Kita punya ide bagus mas , gimana kalau di buat grab data itu secara massal. apakah bisa ? "

Ya jelas bisa , kalian bisa cek di https://github.com/radenvodka/tokopedia-feature di jadikan bot telegram juga bisa. 




Kan di seller / penjual di tokopedia memang sengaja untuk di tampilin. karena sudah izin penguna ? 

Iya saya tau , yang hanya di tampilkan disana hanya email dan alamat pengiriman. dan untuk nomor hp sepertinya tidak ada. bukan hanya itu tokopedia mengunakan images untuk menampilkan email bermaksud untuk menghindari grabbing. namun di kasus ini kita gak perlu lagi convert images ke text mengunakan OCR.

Dampak atau mengapa bug itu menjadi masalah 



Bicara dengan dampak sudah jelas , email , alamat dan nomor hp merupakan data senstif. data yang sudah berhasil di dump / grab banyak manfaatnya , misalnya :  membuat peta data seseorang , penjualan data , untuk marketing atau tidak menuntut kemungkinan bakal di salah gunakan.

Untuk kasus ini saya diberikan respons oleh tokopedia bahwa ini merupakan 'FITUR' dan bug yang saya laporkan dianggap tidak valid.

Percakapan di email bersama IT SEC Tokopedia


Jika kalian penjual di tokopedia

Saran saya untuk tidak menampilkan data seperti email , nomor hp dan untuk alamat gak masalah lah kalau memang ada toko fisik disana. 

Rekomendasi perbaikannya 

Saya sarankan untuk tokopedia untuk membatasi user agent bot untuk tidak menampilkan data sensitif seperti di atas. karena seperti yang kita baca di atas , bug tercipta hanya user agent bot yang bisa menampilkan data tersebut.


Kita tunggu informasi selanjutnya dari tokopedia mengenai masalah ini. apakah status akan berubah setelah melihat tulisan ini atau memang ini merupakan fitur dari tokopedia.

6 comments:

  1. Gan berapa lama di respon nya?

    ReplyDelete
  2. Dulu pernah nemu di bukalapak juga begitu mas wkkkaa di anggap fitur, tapi beberapa hari kedepan bug di perbaiki

    ReplyDelete