u/Glass_Age_15

Halo semua, sebelumnya maaf saya tidak pintar menulis

Singkat cerita saya ingin berbagi temuan menarik (dan agak mengkhawatirkan) terkait keamanan data di salah satu portal milik pemerintah, yaitu DGIP (Paten) https://paten.dgip.go.id/

Jadi semua endpoint data mereka ternyata hanya menggunakan method GET tanpa proteksi apa pun. Bahkan di endpoint ini menampilkan "query database" secara terbuka.

https://saki-paten.dgip.go.id/getOldPassword?USER_ID=31912

https://preview.redd.it/1a316yrq54yg1.png?width=804&format=png&auto=webp&s=5c2f7514114d54c3069dfd46fff43ec69d1667c6

https://saki-paten.dgip.go.id/forgePass/[EMAIL_PENGGUNA]

https://preview.redd.it/acoiu5eb74yg1.png?width=773&format=png&auto=webp&s=f32f5eed8f4b8313de802e14900646fd6fd6bb51

https://saki-paten.dgip.go.id/getInbox?id_user_login=31912

https://preview.redd.it/vgiu75b774yg1.png?width=804&format=png&auto=webp&s=440d98e29ae5bb968b1300053bc1bd696d657ee8