HackerOne platforma, koja omogućava istraživačima sigurnosti da informišu programere o identifikovanju ranjivosti i primaju nagrade za to, dobila je o vlastitom hakovanju. Jedan od istraživača uspio je pristupiti računu sigurnosnog analitičara u HackerOne-u, koji ima mogućnost pregleda povjerljivih materijala, uključujući informacije o ranjivostima koje još nisu popravljene. Od početka platforme, HackerOne je platio istraživačima ukupno 23 miliona dolara za identifikaciju ranjivosti u proizvodima više od 100 klijenata, uključujući Twitter, Facebook, Google, Apple, Microsoft, Slack, Pentagon i američku mornaricu.
Važno je napomenuti da je preuzimanje računa postalo moguće zbog ljudske greške. Jedan od istraživača je podnio zahtjev za pregled potencijalne ranjivosti u HackerOne-u. Tokom analize aplikacije, analitičar HackerOne-a pokušao je ponoviti predloženi metod hakovanja, ali problem nije mogao biti reproduciran, te je autoru aplikacije poslat odgovor sa zahtjevom za dodatnim detaljima. Istovremeno, analitičar nije primijetio da je, uz rezultate neuspješne provjere, nehotice poslao i sadržaj svoje sesije Cookie. Konkretno, tokom dijaloga, analitičar je dao primjer HTTP zahtjeva koji je napravio uslužni program curl, uključujući HTTP zaglavlja, iz kojih je zaboravio obrisati sadržaj kolačića sesije.
Istraživač je primetio ovaj previd i uspeo je da dobije pristup privilegovanom nalogu na hackerone.com jednostavnim ubacivanjem uočene vrednosti kolačića bez potrebe da prolazi kroz višefaktorsku autentifikaciju koja se koristi u servisu. Napad je bio moguć jer hackerone.com nije vezao sesiju za IP ili pretraživač korisnika. Problematičan ID sesije je obrisan dva sata nakon što je objavljen izvještaj o curenju. Odlučeno je da se istraživaču plati 20 hiljada dolara za obavještavanje o problemu.
HackerOne je pokrenuo reviziju kako bi analizirao moguću pojavu sličnih curenja kolačića u prošlosti i procijenio potencijalno curenje vlasničkih informacija o problemima korisnika usluga. Revizija nije otkrila dokaze o curenju podataka u prošlosti i utvrdila je da je istraživač koji je pokazao problem mogao dobiti informacije o približno 5% svih programa predstavljenih u servisu koji su bili dostupni analitičaru čiji je ključ sesije korišten.
Kako bismo se zaštitili od sličnih napada u budućnosti, implementirali smo vezivanje ključa sesije za IP adresu i filtriranje ključeva sesije i tokena za autentifikaciju u komentarima. U budućnosti planiraju da zamijene vezivanje za IP povezivanjem za korisničke uređaje, jer je vezivanje za IP nezgodno za korisnike sa dinamički izdatim adresama. Također je odlučeno da se proširi log sistem informacijama o pristupu korisnika podacima i implementira model granularnog pristupa za analitičare podacima o korisnicima.
izvor: opennet.ru