Bug Bounty: Saugat Pokharel Temukan Celah di Facebook untuk Tampilkan Informasi Pengguna Instagram

Instagram-Exposed-Email-Bug-Bounty
Photo: Instagram Illustration (BBC)

Bug Bounty merupakan salah satu sarana mengasah kemampuan untuk mengenali lebih luas terhadap dunia cybersecurity khususnya di bidang penetrasi testing atau sering disebut sebagai pentest. Dalam hal ini siapapun dalam mengikuti program yang dibuat oleh perusahaan untuk menemukan sebuah bug dari level terendah hingga tingkatan resiko tertinggi.

Kemarin, seorang bug hunter TI yang berasal dari Nepal bernama Saugat Pokharel berhasil menemukan adanya kerentanan pada Facebook yang mengungkapkan informasi data pribadi pengguna Instagram, termasuk alamat email dan tanggal ulang tahun. Padahal Instagram menjanjikan akan mengamankan data tersebut untuk tidak diungkapkan kepada publik pada halaman pendaftaran.

Dari hasil penelitian yang dilakukan Saugat Pokharel, bug Facebook yang ia temukan dapat memudahkan penyerang mendapat informasi pengguna dari Instagram hanya dengan pesan DM. Bug ini ditemukan pada sebuah fitur yang tersedia di Suite Business Facebook dan ini adalah layanan akun bisnis dengan berbagai macam fitur terbaiknya termasuk fitur yang diexploitasi oleh Saugat.

Di halaman Suite Business Facebook terdapat fitur eksperimental yang bertujuan untuk menautkan akun Facebook ke Instagram dan hasilnya akan menampilkan informasi tentang profile seseorang dan ada juga opsional pesan langsung (DM). Informasi itu lebih banyak mendapatkan alamat email dan tanggal lahir.

Saugat berhasil mengidentifikasi bug Facebook pada akun yang disetel sebagai profile rahasia dan tidak menerima pesan DM dari orang lain. Jadi, serangan ini memungkinkan korban tidak akan menerima pemberitahuan apapun jika profile tersebut sudah dilihat sebelumnya.

Juru bicara Facebook menanggapi temuan bug Facebook yang dinyatakan kepada media berita The Verge bahwa bug itu hanya aktif sebentar selama dalam percobaan penetrasi testing yang dilakukan Saugat bulan Oktober lalu.

"Kami menerima laporan dari salah satu peneliti keamanan yang dimana laporan itu berisi bagian dari tes kecil untuk akun bisnis di bulan Oktober. Temuan itu menjelaskan dapat berpotensi mengungkapkan informasi pribadi hanya dengan mengirimi pesan DM. Masalah ini sudah kami atasi dengan cepat dan kami tidak menemukan penyalahgunaan terkait bug yang ditemukannya. Melalui program Bug Bounty, memberikan penghargaan untuk berterima kasih atas bantuan dalam menemukan kerentanan kepada kami".

Bug exposed email ini sudah diperbaiki dan Facebook telah mengizinkan bug hunter tersebut untuk mengungkapkan detail atas temuan itu. Menurut akun Twitter Saugat, ia sedang membuat write-up tentang penemuannya.

Ini bukan pertama kalinya Saugat Pokharel melaporkan bug Instagram di bawah naungan Facebook akan tetapi ada juga kerentanan kritis yang cukup berbahaya jika ini dimanfaatkan oleh penyerang. Agustus lalu, Saugat menemukan  bug yang dapat menghapus data yang tersimpan secara permanen di Instagram. Data itu termasuk login detil, followers, following, likes, conversations, photos, search history, checkout dan masih banyak lagi.