Bug Hunter ini Dapatkan Rejeki dari “Bug Sepele” di Facebook – Seorang bug hunter bernama Sarmad Hassan pada tanggal 31 Januari lalu memposting di Medium tentang pengalamannya menemukan celah yang “secara tidak sengaja” ia temukan di Facebook.
Dikatakan secara tidak sengaja karena bug yang ia temukan ini tidak ada dalam agendanya dalam mengotak atik komponen tersebut di facebook. Sekedar info tambahan, Sarmad Hassan ini seorang bug hunter yang memang sering menemukan bug di platform sosial media populer Facebook ini. Namun seluruh agenda testingnya ia jadwalkan sendiri, misalnya sekarang ngotak atik fitur A, jika tidak ada bug, selanjutnya fitur B. Nah, bug yang ia temukan ini tidak ada dalam list agenda tersebut.
Kejadian bermula pada tanggal 28 Agustus 2018 dimana ia mendapatkan pemberitahuan “aneh” di akunnya bahwa event di grup tertutup yang pernah dia masuki telah dihapus. Dikatakan aneh karena si Sarmad Hassan sendiri telah keluar dari grup tersebut, lalu kenapa orang yang bukan lagi anggota grup tersebut, terlebih lagi itu grup tertutup, mendapatkan pemberitahuan tersebut.
Selanjutnya si Sarmad Hassan mengetes apakah “hal aneh” tersebut juga berdampak pada pengguna yang diblokir dari grup Facebook. Dan ternyata setelah dilakukan pengujian memang pengguna yang diblokir pun mendapatkan pemberitahuan juga ada update dari event di grup yang pernah dimasuki.
Setelah merasa yakin bahwa itu merupakan bug, ia pun melaporkan hal tersebut Facebook Security Team dan dikonfirmasi bahwa hal tersebut memang bug di sistem mereka.
Sarmad Hassan pun mendapatkan bounty atas penemuan bug tersebut. Sayangnya tidak disebutkan berapa besar bounty yang didapat. Berikut timeline yang ia tulis di halaman Medium.
Timeline
- Aug. 28, 2018 — Initial Report
- Aug. 31, 2018 — Report Triaged
- Dec. 19, 2018 — Bounty awarded
- Jan. 31, 2019 — Bug Fixed
- Jan. 31, 2019– Fixed confirmed
PoC Video
Berikut PoC video dari bug tersebut:
Di akhir postingannya di Medium, ia juga mengucapkan terimakasih kepada admin grup IQDevs karena berkatnya yang menghapus event di grup, ia bisa menemukan celah tersebut.
Jika kalian tertarik dengan pengalaman yang ia bagikan, kalian juga bisa follow akun Mediumnya karena dia aktif di dunia bug bounty dan sering membagikan writeup menarik tentang penemuan bug nya di situs situs besar. (yuyudhn/linuxsec)