የደህንነት ተመራማሪዎች ድክመቶችን በመለየት ገንቢዎችን እንዲያሳውቁ እና ለዚህም ሽልማቶችን እንዲቀበሉ የሚያስችል የ HackerOne መድረክ ተቀበለ። ስለራስህ መጥለፍ። ከተመራማሪዎቹ አንዱ እስካሁን ያልተስተካከሉ ስለ ተጋላጭነቶች መረጃን ጨምሮ የተመደቡ ቁሳቁሶችን የመመልከት ችሎታ ያለው በ HackerOne የደህንነት ተንታኝ መለያን ማግኘት ችሏል። መድረኩ ከተመሰረተበት ጊዜ ጀምሮ ሃከር ኦን ለተመራማሪዎች ከ23 በላይ ደንበኞች የትዊተር፣ ፌስቡክ፣ ጎግል፣ አፕል፣ ማይክሮሶፍት፣ ስላክ፣ ፔንታጎን እና የአሜሪካ ባህር ሃይሎችን ጨምሮ ከ100 በላይ ደንበኞች ያላቸውን ተጋላጭነት ለመለየት በድምሩ XNUMX ሚሊዮን ዶላር ከፍሏል።
ሂሳቡን መውሰድ የተቻለው በሰው ስህተት ምክንያት መሆኑ ትኩረት የሚስብ ነው። ከተመራማሪዎቹ አንዱ በ HackerOne ውስጥ ሊኖር ስለሚችለው ተጋላጭነት ለግምገማ ማመልከቻ አስገብቷል። በማመልከቻው ትንተና ወቅት የ HackerOne ተንታኝ የታቀደውን የጠለፋ ዘዴ ለመድገም ሞክሯል, ነገር ግን ችግሩ እንደገና ሊሰራጭ አልቻለም, እና ተጨማሪ ዝርዝሮችን ለመጠየቅ ምላሽ ለመተግበሪያው ደራሲ ተልኳል. በተመሳሳይ ጊዜ, ተንታኙ, ያልተሳካ የፍተሻ ውጤት ጋር, ሳይታሰብ የእሱን ክፍለ ጊዜ ይዘት ኩኪ እንደላከ አላስተዋሉም. በተለይም በውይይቱ ወቅት ተንታኙ የኤችቲቲፒ አርዕስትን ጨምሮ በ curl utility የቀረበ የኤችቲቲፒ ጥያቄ ምሳሌ ሰጥተው የክፍለ ጊዜውን የኩኪ ይዘት ማፅዳት ረስተውታል።
ተመራማሪው ይህንን ክትትል ያስተዋሉ እና በአገልግሎቱ ውስጥ ጥቅም ላይ የዋለውን ባለብዙ ፋክተር ማረጋገጥ ሳያስፈልግ የታወቀው የኩኪ እሴትን በቀላሉ በማስገባት በ hackerone.com ላይ ልዩ ልዩ መለያ ማግኘት ችለዋል። ጥቃቱ ሊደርስ የቻለው hackerone.com ክፍለ ጊዜውን ከተጠቃሚው አይፒ ወይም አሳሽ ጋር ስላላሰረ ነው። ችግር ያለበት የክፍለ-ጊዜ መታወቂያው የፍሰት ሪፖርቱ ከታተመ ከሁለት ሰዓታት በኋላ ተሰርዟል። ችግሩን ለማሳወቅ ለተመራማሪው 20 ሺህ ዶላር እንዲከፍል ተወስኗል።
HackerOne ከዚህ ቀደም ተመሳሳይ የኩኪ ፍንጣቂዎች ሊከሰቱ የሚችሉ ነገሮችን ለመተንተን እና የአገልግሎት ደንበኞችን ችግሮች በተመለከተ የባለቤትነት መረጃን ሊለቁ እንደሚችሉ ለመገምገም ኦዲት አነሳ። ኦዲቱ ከዚህ ቀደም የፈሳሹን ማስረጃዎች አላሳየም እና ችግሩን ያሳየው ተመራማሪ በአገልግሎት ውስጥ ከሚቀርቡት ፕሮግራሞች ውስጥ በግምት 5% የሚሆነውን የክፍለ ጊዜ ቁልፍ ጥቅም ላይ ለዋለ ተንታኝ መረጃ ማግኘት እንደሚችል ወስኗል።
ለወደፊቱ ተመሳሳይ ጥቃቶችን ለመከላከል የክፍለ-ጊዜውን ቁልፍ ከአይፒ አድራሻ ጋር ማያያዝ እና የክፍለ ጊዜ ቁልፎችን እና የማረጋገጫ ቶከኖችን በአስተያየቶች ውስጥ በማጣራት ተግባራዊ እናደርጋለን። ለወደፊቱ፣ ከአይፒ ጋር ማያያዝ ተለዋዋጭ አድራሻ ላላቸው ተጠቃሚዎች የማይመች ስለሆነ ከአይፒ ጋር ማሰርን ከተጠቃሚ መሳሪያዎች ጋር ለመተካት አቅደዋል። እንዲሁም ስለተጠቃሚው መረጃ ተደራሽነት መረጃ ያለው የምዝግብ ማስታወሻ ስርዓቱን ለማስፋት እና ለተንታኞች የደንበኛ መረጃን ለማግኘት የጥራጥሬ ተደራሽነት ሞዴልን ተግባራዊ ለማድረግ ተወስኗል።
ምንጭ: opennet.ru