Die HackerOne-platform, wat sekuriteitsnavorsers in staat stel om ontwikkelaars in te lig oor die identifisering van kwesbaarhede en belonings hiervoor ontvang, het ontvang oor jou eie inbraak. Een van die navorsers het daarin geslaag om toegang te verkry tot die rekening van 'n sekuriteitsontleder by HackerOne, wat die vermoë het om geklassifiseerde materiaal te sien, insluitend inligting oor kwesbaarhede wat nog nie reggestel is nie. Sedert die platform se ontstaan het HackerOne navorsers altesaam $23 miljoen betaal om kwesbaarhede in produkte van meer as 100 kliënte te identifiseer, insluitend Twitter, Facebook, Google, Apple, Microsoft, Slack, die Pentagon en die Amerikaanse vloot.
Dit is opmerklik dat die rekeningoorname moontlik geword het weens menslike foute. Een van die navorsers het 'n aansoek om hersiening ingedien oor 'n moontlike kwesbaarheid in HackerOne. Tydens die ontleding van die toepassing het 'n HackerOne-ontleder probeer om die voorgestelde inbraakmetode te herhaal, maar die probleem kon nie gereproduseer word nie, en 'n antwoord is aan die skrywer van die toepassing gestuur om bykomende besonderhede te versoek. Terselfdertyd het die ontleder nie opgemerk dat, saam met die resultate van 'n onsuksesvolle kontrole, hy per ongeluk die inhoud van sy sessie Cookie gestuur het nie. Die ontleder het veral tydens die dialoog 'n voorbeeld gegee van 'n HTTP-versoek wat deur die krulhulpmiddel gemaak is, insluitend HTTP-opskrifte, waaruit hy vergeet het om die inhoud van die sessiekoekie skoon te maak.
Die navorser het hierdie toesig opgemerk en kon toegang tot 'n bevoorregte rekening op hackerone.com verkry deur bloot die opgemerkte koekiewaarde in te voeg sonder om deur die multi-faktor-verifikasie wat in die diens gebruik word, te gaan. Die aanval was moontlik omdat hackerone.com nie die sessie aan die gebruiker se IP of blaaier gebind het nie. Die problematiese sessie-ID is uitgevee twee uur nadat die lekverslag gepubliseer is. Daar is besluit om die navorser 20 duisend dollar te betaal vir die inligting oor die probleem.
HackerOne het 'n oudit begin om die moontlike voorkoms van soortgelyke koekielekkasies in die verlede te ontleed en om potensiële lekkasies van eiendomsinligting oor die probleme van dienskliënte te evalueer. Die oudit het nie bewyse van lekkasies in die verlede aan die lig gebring nie en het bepaal dat die navorser wat die probleem gedemonstreer het, inligting kon bekom oor ongeveer 5% van alle programme wat in die diens aangebied word wat toeganklik was vir die ontleder wie se sessiesleutel gebruik is.
Om teen soortgelyke aanvalle in die toekoms te beskerm, is binding van die sessiesleutel aan die IP-adres en filtering van sessiesleutels en verifikasietokens in opmerkings geïmplementeer. In die toekoms beplan hulle om binding aan IP te vervang met binding aan gebruikertoestelle, aangesien binding aan IP ongerieflik is vir gebruikers met dinamies uitgereikte adresse. Daar is ook besluit om die logstelsel uit te brei met inligting oor gebruikerstoegang tot data en 'n model van korreltoegang vir ontleders tot klantdata te implementeer.
Bron: opennet.ru