Pendahuluan
PT Pelni (Perusahaan Umum Pelayaran Nasional Indonesia) adalah perusahaan yang menyediakan layanan transportasi laut di Indonesia. Sebagai salah satu perusahaan besar yang melayani banyak penumpang dan memiliki infrastruktur digital yang kompleks, menjaga keamanan data dan sistem menjadi hal yang sangat penting. Namun, selama proses bug bounty, saya menemukan sebuah kerentanan yang bisa sangat berisiko bagi perusahaan besar seperti Pelni, yaitu git repository disclosure pada subdomain pelni.co.id.
Ringkasan Kerentanan
Kerentanan git repository disclosure terjadi ketika repositori Git yang berisi kode sumber, konfigurasi sistem, atau informasi sensitif lainnya dibiarkan terbuka untuk publik. Dalam kasus ini, saya menemukan bahwa repositori Git yang berisi data sensitif perusahaan PT Pelni bisa diakses oleh siapa saja melalui subdomain mereka. Hal ini berpotensi mengungkapkan file konfigurasi penting, kunci API, atau bahkan kerentanannya sendiri dalam kode aplikasi yang bisa dimanfaatkan oleh pihak yang tidak berwenang. Kebocoran seperti ini bisa menjadi celah besar yang mengancam integritas dan keamanan sistem perusahaan.
Penutup
Penemuan kerentanan ini menyoroti pentingnya pengelolaan repositori kode dan konfigurasi perusahaan dengan lebih hati-hati. Mengonfigurasi server dengan benar, melakukan audit berkala pada repositori, serta menghindari pengunggahan file sensitif dapat mencegah kebocoran data yang merugikan. Saya berharap dengan adanya laporan ini, PT Pelni dapat segera mengatasi kerentanannya dan memperkuat aspek keamanan sibernya.
Komentar