Təhlükəsizlik tədqiqatçılarına zəifliklərin müəyyən edilməsi barədə tərtibatçıları məlumatlandırmaq və bunun üçün mükafatlar almağa imkan verən HackerOne platforması alınıb. öz hakerliyiniz haqqında. Tədqiqatçılardan biri məxfi materiallara, o cümlədən hələ də aradan qaldırılmamış boşluqlar haqqında məlumatlara baxmaq imkanı olan HackerOne-da təhlükəsizlik üzrə analitikin hesabına daxil ola bilib. Platforma yarandığı gündən HackerOne tədqiqatçılara Twitter, Facebook, Google, Apple, Microsoft, Slack, Pentaqon və ABŞ Hərbi Dəniz Qüvvələri də daxil olmaqla 23-dən çox müştərinin məhsullarında zəiflikləri müəyyən etmək üçün ümumilikdə 100 milyon dollar ödəyib.
Maraqlıdır ki, hesabın ələ keçirilməsi insan səhvi ucbatından mümkün olub. Tədqiqatçılardan biri HackerOne-da potensial zəiflik barədə araşdırma üçün ərizə təqdim edib. Tətbiqin təhlili zamanı HackerOne analitiki təklif edilən haker üsulunu təkrarlamağa çalışıb, lakin problemi təkrarlamaq mümkün olmayıb və əlavə təfərrüatların tələb olunması ilə bağlı əlavənin müəllifinə cavab göndərilib. Eyni zamanda, analitik uğursuz yoxlamanın nəticələri ilə yanaşı, təsadüfən Cookie sessiyasının məzmununu göndərdiyini fərq etmədi. Xüsusilə, dialoq zamanı analitik “Cookie” sessiyasının məzmununu təmizləməyi unutduğu HTTP başlıqları da daxil olmaqla curl utiliti tərəfindən edilən HTTP sorğusunu misal göstərdi.
Tədqiqatçı bu nəzarəti görüb və xidmətdə istifadə olunan çoxfaktorlu autentifikasiyadan keçmədən sadəcə qeyd olunan Kuki dəyərini daxil etməklə hackerone.com saytında imtiyazlı hesaba giriş əldə edə bilib. Hücum hackerone.com-un sessiyanı istifadəçinin IP və ya brauzerinə bağlamadığı üçün mümkün olub. Problemli sessiya identifikatoru sızma hesabatı dərc edildikdən iki saat sonra silindi. Problemlə bağlı məlumatlandırmaq üçün tədqiqatçıya 20 min dollar ödənilməsi qərara alınıb.
HackerOne keçmişdə oxşar Cookie sızmalarının mümkün baş verməsini təhlil etmək və xidmət müştərilərinin problemləri ilə bağlı mülkiyyət məlumatlarının potensial sızmalarını qiymətləndirmək üçün auditə başladı. Audit keçmişdə sızma dəlilləri aşkar etmədi və müəyyən etdi ki, problemi nümayiş etdirən tədqiqatçı seans açarından istifadə edilən analitik üçün əlçatan olan xidmətdə təqdim olunan bütün proqramların təxminən 5%-i haqqında məlumat əldə edə bilər.
Gələcəkdə oxşar hücumlardan qorunmaq üçün biz sessiya açarının IP ünvanına bağlanmasını və şərhlərdə sessiya açarlarının və autentifikasiya nişanlarının filtrlənməsini həyata keçirdik. Gələcəkdə onlar IP-yə bağlanmanı istifadəçi cihazlarına bağlama ilə əvəz etməyi planlaşdırırlar, çünki IP-yə bağlanma dinamik olaraq verilmiş ünvanları olan istifadəçilər üçün əlverişsizdir. Həmçinin, istifadəçilərin məlumatlara çıxışı haqqında məlumatlarla log sistemini genişləndirmək və analitiklər üçün müştəri məlumatlarına qranul çıxış modelini tətbiq etmək qərara alınıb.
Mənbə: opennet.ru