Tanggapan Vidio.com Atas Temuan Kerentanan oleh Bug Hunter Indonesia
Vidio.com
Cyberthreat.id – Platform layanan streaming video, Vidio.com, memberikan klarifikasi terkait dengan temuan kerentanan yang ditemukan oleh seorang bug hunter Indonesia.
Dalam surat elektroniknya kepada Cyberthreat.id pada Sabtu (23 Juli 2021), Public Relation Vidio, Geraldine Patricia, memberikan tanggapan terkait dengan pemberitaan berjudul “Bug Hunter Temukan Celah Serangan Brute Force di Vidio.com” yang terbit pada 19 Juli lalu.
Berikut ini tanggapan lengkapnya:
Faktor keamanan produk merupakan hal paling utama untuk menciptakan pengalaman yang terbaik bagi pengguna Vidio, maka dari itu kami secara rutin melakukan program Bug Bounty berstandardisasi tinggi bersama dengan para peneliti keamanan Indonesia yang sudah kita lakukan secara berkesinambungan selama beberapa tahun terakhir hingga saat ini.
Kami berterima kasih dan menghargai usaha peneliti yang telah membagikan informasi tersebut dan dengan lugas melaporkan masalah ini. Kami telah melakukan penyelidikan internal dan menindaklanjuti untuk lebih memahami temuan ini. Tak lupa kami meninjau kebijakan tata kelola data untuk memastikan bahwa semua data pengguna ditangani sesuai dengan peraturan yang ada.
Kami selalu mematuhi standar privasi dan mengedepankan perlindungan data pengguna yang ketat serta akan terus mengambil seluruh tindakan yang diperlukan untuk memastikan bahwa pengguna kami dapat menikmati tayang terbaik Vidio dengan rasa aman & nyaman.
Demikian hak jawab ini disampaikan, untuk informasi lebih lanjut dan korespondensi media, dapat menghubungi saya melalui e-mail (geraldine.patricia@vidio.com).
Atas perhatiannya saya ucapkan terima kasih.
Best regards,
Public Relation Vidio, Geraldine Patricia
Sebelumnya, kerentanan brute force ditemukan oleh peneliti kerentanan (bug hunter) berinisial “Hackbin XYZ” aka “Gh05t666nero” dan diunggah di www.botnet.my.id, sebuah portal literasi keamanan siber.
Menurut peneliti, kerentanan tersebut kategori kritis, tapi Vidio.com tidak mengapresiasi temuan tersebut. Ini yang membuatnya mempublikasikan temuannya tersebut di portal tersebut, padahal dia sedang mengikuti program bug bounty yang diadakan oleh Vidio.com.
“Setelah kami melaporkan temuan kerentanan ini kepada Vidio.com. Mereka meminta kami beberapa hari untuk melakukan review terkait temuan ini, untuk apa? Ya! kami mengikuti program bug bounty yang diadakan oleh mereka,” tulis dia dalam tulisannya yang diunggah pada 15 Juli lalu.
Kerentanan OTP
Menurut peneliti, ketika dirinya meriset di halaman login nomor ponsel Vidi.com, ditemukanlah kejanggalan setelah memasukkan kode OTP (kata sandi sekali pakai) yang salah berkali-kali. Ternyata, server tidak mengembalikan respons, seperti memblokir request/kode yang kedaluwarsa.
Peneliti kemudian memprogram sebuah alat untuk mengeksploitasi kerentanan dengan menggunakan percabangan IF - ELSE (Python) dengan membandingkan string "salah" sebagai invalid dan "profile" sebagai valid.
“Setelah berhasil mendapatkan kode OTP valid, kami memprogram alat untuk menampilkan cookie. Dengan begini kami dapat melewati autentikasi login melalui pengeditan cookie (karena server Vidio.com mematikan kode apabila telah dipakai valid 1x),” tulisnya.
Lalu, bagaimana pengambilalihan akun bisa terjadi? Menurut Hackbin, dalam risetnya, ia memanfaatkan fitur reset password setelah mengubah alamat email milik korban. “Dengan begini kami mendapatkan akses penuh terhadap akun alih-alih melakukan brute force ulang untuk kembali login,” ujarnya.
Sayangnya, menurut Hackbin, temuannya tersebut justru ditolak oleh Vidio.com dengan alasan yang tidak logis. Menurut Vidio.com, kata dia, pada request ke-13, dirinya dianggap memasukkan kode OTP valid pada word list. Dengan begitu, brute force itu dianggap gagal, tutur dia.
Hackbin punya argumen mengapa memasukkan OTP valid ke word list. “Brute force yang berlebihan akan berdampak pada flooding dan akan menguras waktu. Maka dari itu, kami memasukkan OTP yang valid pada word list untuk menghindari hal-hal yang tidak diinginkan,” ujar dia.
Hackbin pun meminta banding dan diberi kesempatan lagi dengan persyaratan, seperti di bawah ini:
“Ketika kami mencoba menggunakan alat yang kami program dengan susah payah, alat tersebut sudah tidak berfungsi lagi dan ketika kami mencoba melakukan request manual dengan hitungan 12x invalid, 13x valid juga gagal!” kata Hackbin.
Setelah menerima laporan tersebut, menurut dia, Vidio.com meminta untuk menunggu beberapa hari guna melakukan ulasan dan penambalan kerentanan.
Namun, ia menyesalkan bagaimana mungkin mem-brute force ulang setelah Video.com menambal kerentanan tersebut. “Sangat disesalkan atas perlakuan mereka ini!” tuturnya.[]
