La plataforma HackerOne, que permet als investigadors de seguretat informar els desenvolupadors sobre la identificació de vulnerabilitats i rebre recompenses per això, va rebre sobre la teva pròpia pirateria. Un dels investigadors va aconseguir accedir al compte d'un analista de seguretat de HackerOne, que té la capacitat de veure materials classificats, inclosa informació sobre vulnerabilitats que encara no s'han solucionat. Des de la creació de la plataforma, HackerOne ha pagat als investigadors un total de 23 milions de dòlars per identificar vulnerabilitats en productes de més de 100 clients, inclosos Twitter, Facebook, Google, Apple, Microsoft, Slack, el Pentàgon i la Marina dels EUA.
Cal destacar que la presa de possessió del compte va ser possible a causa d'un error humà. Un dels investigadors va presentar una sol·licitud de revisió sobre una possible vulnerabilitat a HackerOne. Durant l'anàlisi de l'aplicació, un analista de HackerOne va intentar repetir el mètode de pirateria proposat, però el problema no es va poder reproduir i es va enviar una resposta a l'autor de l'aplicació sol·licitant detalls addicionals. Al mateix temps, l'analista no es va adonar que, juntament amb els resultats d'una comprovació infructuosa, va enviar sense voler el contingut de la seva sessió Cookie. En concret, durant el diàleg, l'analista va donar un exemple d'una sol·licitud HTTP feta per la utilitat curl, incloses les capçaleres HTTP, de la qual es va oblidar d'esborrar el contingut de la cookie de sessió.
L'investigador es va adonar d'aquesta supervisió i va poder accedir a un compte privilegiat a hackerone.com simplement inserint el valor de la galeta observat sense haver de passar per l'autenticació multifactor utilitzada al servei. L'atac va ser possible perquè hackerone.com no va vincular la sessió a la IP o al navegador de l'usuari. L'identificador de sessió problemàtica es va suprimir dues hores després de la publicació de l'informe de filtració. Es va decidir pagar a l'investigador 20 mil dòlars per informar sobre el problema.
HackerOne va iniciar una auditoria per analitzar la possible aparició de fuites de galetes similars en el passat i per avaluar possibles filtracions d'informació propietaria sobre els problemes dels clients del servei. L'auditoria no va revelar evidències de filtracions en el passat i va determinar que l'investigador que va demostrar el problema podia obtenir informació sobre aproximadament el 5% de tots els programes presentats al servei que eren accessibles per a l'analista la clau de sessió del qual es va utilitzar.
Per protegir-nos d'atacs similars en el futur, hem implementat la vinculació de la clau de sessió a l'adreça IP i el filtratge de claus de sessió i testimonis d'autenticació als comentaris. En el futur, tenen previst substituir l'enllaç a IP per l'enllaç als dispositius d'usuari, ja que l'enllaç a IP és inconvenient per als usuaris amb adreces emeses dinàmicament. També es va decidir ampliar el sistema de registre amb informació sobre l'accés dels usuaris a les dades i implementar un model d'accés granular per als analistes a les dades dels clients.
Font: opennet.ru