ProHoster > بلوق > أخبار الإنترنت > الهجوم على HackerOne، مما يسمح بالوصول إلى تقارير الضعف الخاصة

الهجوم على HackerOne، مما يسمح بالوصول إلى تقارير الضعف الخاصة

حصلت منصة HackerOne، التي تسمح للباحثين الأمنيين بإبلاغ المطورين حول تحديد نقاط الضعف والحصول على مكافآت مقابل ذلك، على تقرير حول القرصنة الخاصة بك. وتمكن أحد الباحثين من الوصول إلى حساب محلل أمني في HackerOne، والذي لديه القدرة على عرض المواد السرية، بما في ذلك معلومات حول نقاط الضعف التي لم يتم إصلاحها بعد. منذ إنشاء المنصة، دفعت HackerOne للباحثين ما مجموعه 23 مليون دولار لتحديد نقاط الضعف في المنتجات من أكثر من 100 عميل، بما في ذلك Twitter وFacebook وGoogle وApple وMicrosoft وSlack والبنتاغون والبحرية الأمريكية.

يشار إلى أن عملية الاستيلاء على الحساب أصبحت ممكنة بسبب خطأ بشري. قدم أحد الباحثين طلبًا للمراجعة حول الثغرة الأمنية المحتملة في HackerOne. أثناء تحليل التطبيق، حاول أحد محللي HackerOne تكرار طريقة القرصنة المقترحة، لكن تعذر تكرار المشكلة، وتم إرسال رد إلى مؤلف التطبيق لطلب تفاصيل إضافية. في الوقت نفسه، لم يلاحظ المحلل أنه، إلى جانب نتائج الفحص غير الناجح، أرسل عن غير قصد محتويات ملف تعريف الارتباط الخاص بجلسته. على وجه الخصوص، أثناء الحوار، قدم المحلل مثالاً لطلب HTTP تم إجراؤه بواسطة الأداة المساعدة cur، بما في ذلك رؤوس HTTP، والتي نسي مسح محتويات ملف تعريف الارتباط للجلسة منها.

لاحظ الباحث هذا الخطأ وتمكن من الوصول إلى حساب مميز على hackerone.com بمجرد إدخال قيمة ملف تعريف الارتباط الملحوظة دون الحاجة إلى المرور عبر المصادقة متعددة العوامل المستخدمة في الخدمة. كان الهجوم ممكنًا لأن موقع hackerone.com لم يربط الجلسة بعنوان IP الخاص بالمستخدم أو المتصفح. تم حذف معرف الجلسة الذي به مشكلة بعد ساعتين من نشر تقرير التسرب. وتقرر دفع مبلغ 20 ألف دولار للباحث مقابل إبلاغه بالمشكلة.

بدأت HackerOne عملية تدقيق لتحليل احتمال حدوث تسريبات مماثلة لملفات تعريف الارتباط في الماضي ولتقييم التسريبات المحتملة لمعلومات الملكية حول مشكلات عملاء الخدمة. لم يكشف التدقيق عن أدلة على التسريبات في الماضي وقرر أن الباحث الذي أظهر المشكلة يمكنه الحصول على معلومات حول ما يقرب من 5% من جميع البرامج المقدمة في الخدمة والتي كان يمكن للمحلل الوصول إليها وتم استخدام مفتاح الجلسة الخاص به.

للحماية من الهجمات المماثلة في المستقبل، قمنا بتنفيذ ربط مفتاح الجلسة بعنوان IP وتصفية مفاتيح الجلسة ورموز المصادقة المميزة في التعليقات. في المستقبل، يخططون لاستبدال الارتباط بـ IP بالربط بأجهزة المستخدم، نظرًا لأن الارتباط بـ IP غير مناسب للمستخدمين ذوي العناوين الصادرة ديناميكيًا. وتقرر أيضًا توسيع نظام السجل بمعلومات حول وصول المستخدم إلى البيانات وتنفيذ نموذج للوصول التفصيلي للمحللين إلى بيانات العملاء.

المصدر: opennet.ru