Washington, Cyberthreat.id - Eugene Lim, seorang peneliti yang memiliki akun Twitter @spaceraccoon menemukan kerentanan injeksi SQL pada Starbucks, perusahaan kopi dan jaringan kedai kopi global asal Amerika Serikat.

Kerentanan injeksi SQL tersebut, dilaporkan telah mengekspos hampir satu juta catatan keuangan yang disimpan dalam database perusahaan Starbucks.

Lim kemudian memperoleh US$ 4.000 setelah melaporkan cacat ke Starbucks melalui program hadiah bug perusahaan di HackerOne.

Lubang keamanan tersebut diidentifikasi pada 8 April 2019, dan ditambal dalam dua hari. Laporan kerentanan yang ia kirimkan ke HackerOne diumumkan kepada publik pada 6 Agustus 2019.

Dilansir dari Securityweek.com, Kamis, (8 Agustus 2019), Lim mulai  memeriksa titik akhir yang ditargetkan untuk kerentanan unggahan file, dan kemudian mengujinya untuk kelemahan XXE, setelah mengetahui bahwa Ia telah menjalankan platform perencanaan sumber daya perusahaan (ERP) Microsoft Dynamics AX.

Setelah upayanya meluncurkan serangan XXE gagal, Ia memutuskan untuk beralih ke target potensial lainnya. Sekitar sebulan kemudian, ia memutuskan untuk mengunjungi kembali titik akhir dan memeriksa injeksi SQL, dan akhirnya Ia temukan.

“Jadi saya mendapat injeksi SQL. Tetapi, bagaimana jika database tidak digunakan atau diabaikan? Saya memutuskan untuk menguji tiga hal, yaitu, jenis data dalam database, jumlah data, dan kemutakhiran data,” kata Lim.

"Namun, saya dengan cepat bertemu dengan penghalang.  Sebagai basis data perusahaan, Microsoft Dynamics AX sangat besar. Pemeriksaan cepat mengungkapkan bahwa database memiliki ribuan tabel. Saya harus menemukan dan fokus pada tabel utama, tetapi di mana saya harus mulai?”Lim menulis dalam laporannya ke Starbucks.

Lim menambahkan, untungnya, Microsoft menyediakan dokumentasi online tentang Dynamics AX.

“Setelah sedikit riset, saya menemukan tabel utama default dan kolom yang relevan. Beberapa menit kemudian, jawabannya masuk. Ada hampir satu juta entri sampai tahun sebelumnya yang termasuk informasi akuntansi nyata. Zaheck !! Saya segera berhenti menguji dan menulis laporan saya,” ungkap Lim.

Selain, catatan keuangan, Lim juga menemukan database menyimpan catatan akuntansi dan keuangan lainnya, termasuk pajak, penerimaan dan data penggajian.

Hadiah yang diberikan Starbucks sebesar US$ 4.000 adalah jumlah maksimum uang yang dibayarkan Starbucks untuk kerentanan kritis melalui program karunia bug-nya. Hadiah rata-rata yang diberikan oleh raksasa kopi tersebut adalah US$ 250, dan jumlah total yang dibayarkan kepada para penemu celah keamanan sejauh ini telah melebihi US$ 400.000.