Платформата HackerOne, която позволява на изследователите по сигурността да информират разработчиците за идентифициране на уязвимости и да получават награди за това, получи за вашето собствено хакване. Един от изследователите успя да получи достъп до акаунта на анализатор по сигурността в HackerOne, който има възможност да преглежда класифицирани материали, включително информация за уязвимости, които все още не са коригирани. От създаването на платформата HackerOne е платил на изследователите общо 23 милиона долара за идентифициране на уязвимости в продукти от повече от 100 клиента, включително Twitter, Facebook, Google, Apple, Microsoft, Slack, Пентагона и американския флот.
Трябва да се отбележи, че превземането на акаунта стана възможно поради човешка грешка. Един от изследователите подаде заявление за преглед относно потенциална уязвимост в HackerOne. По време на анализа на приложението анализатор на HackerOne се опита да повтори предложения метод за хакване, но проблемът не можа да бъде възпроизведен и беше изпратен отговор до автора на приложението с искане на допълнителни подробности. В същото време анализаторът не забеляза, че заедно с резултатите от неуспешна проверка той по невнимание изпрати съдържанието на своята сесия Cookie. По-специално, по време на диалога анализаторът даде пример за HTTP заявка, направена от помощната програма curl, включително HTTP заглавки, от които той забрави да изчисти съдържанието на сесийната бисквитка.
Изследователят забеляза този пропуск и успя да получи достъп до привилегирован акаунт на hackerone.com, като просто вмъкна забелязаната стойност на бисквитката, без да се налага да преминава през многофакторното удостоверяване, използвано в услугата. Атаката е била възможна, тъй като hackerone.com не е обвързал сесията с IP адреса или браузъра на потребителя. Идентификаторът на проблемната сесия беше изтрит два часа след публикуването на доклада за изтичане. Решено е да се плати на изследователя 20 хиляди долара за информиране за проблема.
HackerOne инициира одит, за да анализира възможната поява на подобни течове на бисквитки в миналото и да оцени потенциалните течове на частна информация за проблемите на клиентите на услугата. Одитът не разкри доказателства за течове в миналото и установи, че изследователят, който демонстрира проблема, може да получи информация за приблизително 5% от всички програми, представени в услугата, които са били достъпни за анализатора, чийто сесиен ключ е бил използван.
За защита срещу подобни атаки в бъдеще е внедрено обвързване на сесийния ключ с IP адреса и филтриране на сесийни ключове и токени за удостоверяване в коментарите. В бъдеще те планират да заменят обвързването към IP с обвързване към потребителски устройства, тъй като обвързването към IP е неудобно за потребители с динамично издадени адреси. Беше решено също така да се разшири лог системата с информация за потребителския достъп до данни и да се приложи модел на гранулиран достъп за анализаторите до клиентските данни.
Източник: opennet.ru