Temuan BUG ini adalah IDOR (Insecure Direct Object Reference) pada salah satu subdomain kominfo.go.id (Kementerian Komunikasi dan Informatika)
Sudah diperbaiki oleh tim terkait dan mendapatkan e-Sertifikat Apresiasi yang sudah ditandatangani secara elektronik
Sebelumnya saya membuka domain eppid-sikelip.kominfo.go.id
Selanjutnya saya melakukan register pada halaman tersebut dan saya melakukan login pada web tersebut
Selanjutnya saya melakukan perubahan data profile, dan mendapatkan request seperti di bawah ini
Saya mendapatkan ID User di user pertama yaitu 12329
ID User 1 : 12329
ID User 2 : 12330
Selanjutnya saya melakukan edit di POST Data nya dengan merubah ID User menjadi ID user akun kedua yaitu 12330 dan merubah nama menjadi TESTING IDOR
Selanjutnya saya resend request tersebut, berikut hasil respons dari request di Burpsuite
Selanjutnya saya melakukan refresh di akun kedua, hasilnya adalah nama di akun kedua berhasil keubah
Hal yang sama serupa juga terjadi Ketika saya melakukan perubahan password user lain. Impact dari temuan IDOR ialah seseorang dapat mengakses, melakukan perubahan data di user lain tanpa ada Batasan hak akses.
Berikut timeline pelaporan BUG ke kominfo
13 Maret 2023, temuan akan di cek oleh tim CSIRT 
20 Maret 2023, BUG dinyatakan valid dan sudah diperbaiki, lalu meminta data-data seperti nama lengkap dan nomor HP yang terhubung ke Whatsapp 
25 Maret 2023, e-Sertifikat diberikan 
Bukti validasi e-Sertifikat yang sudah ditandatangani secara elektronik, atau bisa juga melakukan Scan QR Code yang ada di Sertifikat Validasi Sertifikat