Bug Hunter Temukan Bug RCE pada Domain Mobile Starbucks dan Diberi Reward $5.600

Starbucks-Remote-Code-Execution-Ko2sec

Potensial keamanan dengan tingkat keparahan tertinggi yakni Remote Code Execution (RCE) pada domain mobile milik Starbucks berhasil diperbaiki kemarin.

Perusahaan raksasa kopi Starbucks mengikuti program bug bounty di platform terkenal salah satunya adalah HackerOne. Platform ini memang sudah dikenal dikalangan bug hunter yang ingin mencari sebuah kerentanan dari berbagai macam platform terbesar. 

Laporan bug Remote Code Execution (RCE) pertama kali dikirimkan pada tanggal 6 November 2020 oleh "ko2sec" salah satu pemain besar di platform HackerOne. Laporan ini diungkapkan di laman HackerOne pada 10 Desember yang menjelaskan bahwa bug ini ditemukan di mobile.starbucks.com.sg, sebuah platform Starbucks khusus untuk pengguna Singapura.

Menurut Starbucks, bug hunter ko2sec berhasil menemukan endpoint .ashx pada domain mobile.starbucks.com.sg yang menangani sebuah file upload gambar. Namun, titik endpoint ini tidak membatasi jenis file upload, yang artinya penyerang dapat menyalahgunakan masalah tersebut. Potensial bug ini dapat mengakibatkan mengupload file berbahaya dan mengeksekusi kode arbitrer jarak jauh.

Laporan lengkap versi ko2sec telah dibatasi oleh pihak Starbucks dan dicatat juga bahwa analisis bug hunter ko2sec mengungkapkan endpoint tambahan pada domain lain di luar cakupan yang serupa.

Hingga saat ini belum diterbitkan label CVE untuk kerentanan separah ini akan tetapi Starbucks menilainya dengan skor 9.8 yang artinya bug ini sangat kritikal dan berbahaya. Meskipun belum terbit CVE, bug hunter ko2sec mendapatkan penghargaan sekitar $5.600.


Bug Remote Code Execution (RCE adalah bukan bug satu-satunya yang ditemukan oleh ko2sec pada situs Starbucks. Pada bulan Oktober, Ko2sec juga berhasil menemukan bug takeover akun pada situs platform Starbucks Singapura. Bug tersebut memungkinkan penyerang menargetkan informasi sensitif seperti alamat email, informasi pribadi, dan parahnya dapat menggunakan kredit yang dimiliki oleh pengguna lain untuk melakukan pembelian di Starbucks.

Laporan tersebut sudah diungkapkan juga di laman HackerOne dan dihadiahi sebesar $6.000 oleh Starbucks.

Dalam statistik laman resmi Starbucks, setidaknya perusahaan ini sudah menerima laporan bug rendah hingga kritikal di HackerOne. Penghargaan rata-rata yang diberikan untuk label valid sekitar $250 - $375, sedangkan untuk bug dengan tingkatan kritis dan berbahaya akan dihadiahi $4.000 - $6.000. Total keseluruhan Starbucks dalam memberikan hadiah ini sudah sekitar $640.000 untuk bug hunter dengan $20.000 dalam 90 hari terakhir ini.