Sebuah kerentanan pada sistem DoorDash sempat membuka peluang bagi siapa pun untuk mengirim email bertema resmi DoorDash langsung dari server sah perusahaan. Celah ini menciptakan kanal phishing yang hampir sempurna sebelum akhirnya ditambal, memunculkan perselisihan antara peneliti keamanan dan pihak DoorDash terkait proses pelaporan.
Celah Email DoorDash yang Bisa Disalahgunakan
Masalah berawal dari fitur pada platform DoorDash for Business yang memungkinkan pembuatan akun gratis dan penambahan “karyawan” fiktif, lengkap dengan alokasi anggaran dan pembuatan pesan HTML. Dengan memanfaatkan input yang tidak difilter, seorang penyerang dapat menyisipkan payload HTML yang kemudian dikirim menggunakan template resmi DoorDash melalui alamat no-reply@doordash.com.
Peneliti pseudonim doublezero7 menunjukkan bagaimana celah tersebut memungkinkan manipulasi konten email melalui HTML injection, termasuk menyembunyikan elemen asli dan menggantinya dengan pesan phishing.
Menurut peneliti tersebut, email yang disalahgunakan tidak terbatas pada pelanggan DoorDash, melainkan dapat dikirim ke siapa pun, menciptakan risiko sosial rekayasa yang luas. Kerentanan ini memiliki kemiripan dengan masalah serupa yang pernah terjadi pada sistem email Uber pada 2022.
Proses Disclosure Berlarut Selama 15 Bulan
Doublezero7 menyatakan bahwa kerentanan ini telah ia laporkan lebih dari 15 bulan lalu melalui HackerOne, namun laporan tersebut ditutup sebagai “Informative” tanpa tindak lanjut. Setelah frustrasi dengan lamanya proses, ia merilis laporan ringkas tanpa detail teknis dan kembali menekan DoorDash untuk mempercepat penanganan. Barulah pada awal November 2025 celah tersebut ditambal, setelah peneliti menghubungi perusahaan secara langsung.
Peneliti menilai bahwa tanpa tekanan publik, celah tersebut kemungkinan masih belum diperbaiki. DoorDash, sebaliknya, memiliki pandangan berbeda mengenai cara peneliti menangani kasus ini.
Tuduhan Etika: Antara Tekanan, Pembayaran, dan Larangan
Sengketa antara kedua pihak makin memanas ketika DoorDash menuding peneliti melakukan upaya “pemerasan” dengan meminta pembayaran yang dikaitkan dengan batas waktu disclosure. Menurut sumber internal perusahaan, peneliti menolak mediasi dan tetap mengajukan permintaan kompensasi sebelum celah diperbaiki.
DoorDash menyatakan bahwa temuan tersebut berada di luar cakupan program bug bounty mereka, dan karena perilaku peneliti dianggap melanggar etika, ia kemudian dilarang dari program tersebut. HackerOne pun menegaskan bahwa tindakan yang diambil sesuai dengan kebijakan platform dan program terkait.
Peneliti mengakui telah menggunakan pendekatan yang “kurang etis” dalam komunikasi terakhirnya, termasuk menawarkan NDA berbayar sebagai syarat diam. Namun ia menilai langkah itu diambil karena perusahaan dianggap mengabaikan pelaporan awal dan kemudian memperbaiki bug tanpa memberikan apresiasi atau kompensasi.
Celah Tak Berdampak pada Data, tetapi Tetap Berisiko
Meski kerentanan ini tidak memberikan akses ke data pengguna ataupun sistem internal DoorDash, celah tersebut tetap dapat dimanfaatkan untuk melancarkan phishing yang sangat meyakinkan. Efektivitasnya tetap bergantung pada apakah penerima terjebak untuk melakukan tindakan tertentu.
Kasus ini menggambarkan bagaimana proses pelaporan kerentanan dapat menjadi rumit ketika ekspektasi peneliti dan perusahaan tidak selaras. Konflik seperti ini menunjukkan pentingnya transparansi, respons cepat, serta komunikasi yang menjaga etika di kedua belah pihak.