Mass Private Email Leak via Unsecure API Search (+30 Juta Email Leak)

FrozzipiesFrozzipies
2 min read

Pada kessempatan kali ini saya mau ngeshare bagaimana saya bisa mendapatkan kerentanan yang cukup unik, karena disini saya bisa ngeleak 30 juta email users pada suatu perusahaa yang membuka bug bounty dengan cuma modal gunain fitur searching di web aplikasinya.

Jadi kita ibaratkan aja di web target ini ada fitur searching user, nah ketika menggunakan fitur search itu saya coba sekalian cek request search user itu via http history di burpsuite, dan berikut adalah contoh request headernya (kita bisa mengganti username victim atau korban pada parameter keyword?=

GET /search?keyword={VICTIM-USERNAME} HTTP/2
Host: api.target.com
Cookie: {YOUR-COOKIE}
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:129.0) Gecko/20100101 Firefox/129.0
Accept: application/json, text/plain, */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Cache-Control: must-revalidate, public, max-age=31536000
Soc-Platform: api.target.com
Origin: https://target.com/
Referer: https://target.com/
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-site
Te: trailers

Yang perlu kita highlight disini adalah, kita bisa tau bahwa search bar tersebut terkoneksi secara langsung dengan API (bisa dilihat dari Host: api.target.com pada request header. Yang menarik adalah, biasanya kalau search bar terkoneksi langsung dengan API, kita bisa mendapatkan informasi yang lebih banyak dibandingkan informasi yang bisa kita lihat dari tampilan UI pada web browser. Pada UI webnya, ketika kita mencoba search users kita hanya bisa mendapatkan informasi basic seperti:

  • Username

  • Display Name

  • Bio

  • Postingan

Dan tentu saja tidak ada yang salah dengan hal tersebut, karena semua data tersebut memang publik dan tidak ada yang mengandung data pribadi. Tetapi ketika saya mengecek response dari request API yang sebelumnya saya bahas, saya langsung menyadari bahwa ada data pribadi user yang muncul dari response API, dan data tersebut adalah Email User!

{"success":true,"data":[{"_id":"1234567890","level":{"current":{"stage":"target-redacted","total_points_earned":0,"rank":0,"total_shopping":0,"total_verified_reviews":0},"next":{"stage":"Rising Star","points_needed":300,"rank":1,"shopping_needed":500000,"verified_reviews_needed":1},"re_evaluate_at":"2025-08-13T18:08:49.893Z"},"is_expert_reviewer":false,"user_level":"SOCO Star","is_deleted":false,"email":"frozzipiesredteam@gmail.com","user_name":"victimfrozzipies","first_name":"victim","last_name":"frozzipies","image":"https://cdn.target.com/1234567890-attackertest-1723572529722","name":"victim frozzipies","has_relation":"follow"},

Bisa dilihat disini kita berhasil mendapatkan data email pribadi seperti ini hanya modal searching nama user atau username lewat search bar!

"email":"frozzipiesredteam@gmail.com"

Tipsnya setiap ketemu search bar apapun itu, selalu coba di cek juga request nya lewat Burpsuite, jangan di skip dan berpikir tidak ada yang bisa di exploitasi dari fitur sepele seperti search bar.

0
Subscribe to my newsletter

Read articles from Frozzipies directly inside your inbox. Subscribe to the newsletter, and don't miss out.

bugbounty#bountytipswebsite

Written by

Frozzipies
Frozzipies