Honorable Mention dari Google VRP [ID]
Pendahuluan
Beberapa waktu lalu, saya melaporkan bug atau kerentanan ke Google melalui VRP (Vulnerability Reward Program). Bug saya di-triage, bahkan di accept dengan ‘Nice Catch’ dan diteruskan ke team internal mereka. Namun ada satu hal yang saya lewatin disini, setelah beberapa waktu, bug saya ternyata tidak eligible untuk mendapatkan bounty. Aneh? yntks, jadi disini saya mau sharing pengalaman penting dan mungkin jadi pelajaran agar hal spele kek gini ga terjadi lagi buat orang lain ataupun diri sendiri.
Kronologi
Jadi singkat cerita saya menemukan business logic bug di platform yang digunakan untuk training dan ambil sertifikasi dari Google resmi. Secara tampilan dan fungsinya bisa dibilang platform ini menggunakan branding dan logo Google, alamat emailnya pun dengan nama pengirim “Google”, bahkan IP hostingnya juga berada di bawah Google Cloud. Setelah saya submit, team internal google dengan cepat merespons status triaged > accept as a valid bug and sent to the internal team.
Sayangnya, setelah satu minggu baru direspon oleh Google Security Bot kalo aplikasi yang saya test itu bukan milik Google atau di operasikan oleh Google. Jadinnya bug yang saya temukan ini tidak masuk syarat untuk mendapatkan rewards. Dari yang saya liat dari Google Out of Scope Lists domain yang saya test tidak termasuk dalam list tersebut ‘skillshop.exceedlms.com’, dan ketika saya cek menggunakan whois ip nya juga berada di dibawah Google Cloud (GOOGL-2). Jadi apa masalahnya disini? Google sendiri bilang kalo di webnya:
“Unfortunately, there are exceptions to the above rules. For example, sometimes a vendor operates a web application in our IP space, on our domain, and with our branding (sorry for that, but that’s just the way it is)”
Akhirnya saya tercerahkan setelah menonton video How to identify Google infrastructure? - ft. PwnFunction. Jadi dari yang saya tangkap dari video kalo web yang saya test itu merupakan milik customer, ini bisa diliat dari segi IP nya, atau juga dari menggunakan whois.
Walau ga dapet rewards atau bounty, saya bersyukur karena Google tetap menilai laporan sebagai contributions karena masuk bug nya dilaporkan ke Internal Team mereka. Nama saya pun dimasukkan ke dalam daftar Honorable Mentions karena bug dianggap valid dan ada impact meskipun ga eligible untuk bounty karena alasan third parties.
Terakhir
Satu kesalahan utama saya adalah tidak research scope secara lengkap, khususnya web punya vendor. Jadi ketika ngelihat brand dari Google dan menemukan bug, saya buru-buru lapor karena terlalu excited. Yah.. walaupun ga dapet bounty setidaknya ga rugi-rugi amat bisa kontribusi jadi pelajaran buat kedepannya, dan sekarang nama saya muncul juga di web Google VRP (lumayan buat nambah portofolio yg sepi..). Dan yang paling penting.. blog ini akhirnya ada apdet sekian lama saya lama malas menulis.