Ang HackerOne nga plataporma, nga nagtugot sa mga tigdukiduki sa seguridad sa pagpahibalo sa mga developers mahitungod sa pag-ila sa mga kahuyangan ug makadawat og mga ganti alang niini, nakadawat bahin sa imong kaugalingon nga pag-hack. Usa sa mga tigdukiduki nakahimo sa pag-access sa account sa usa ka security analyst sa HackerOne, kinsa adunay katakus sa pagtan-aw sa mga classified nga mga materyales, lakip ang impormasyon mahitungod sa mga kahuyangan nga wala pa naayo. Sukad sa pagsugod sa plataporma, ang HackerOne nagbayad sa mga tigdukiduki sa kinatibuk-an nga $23 milyon aron mahibal-an ang mga kahuyangan sa mga produkto gikan sa labaw sa 100 nga mga kliyente, lakip ang Twitter, Facebook, Google, Apple, Microsoft, Slack, Pentagon, ug US Navy.
Mamatikdan nga ang pagkuha sa account nahimong posible tungod sa sayup sa tawo. Usa sa mga tigdukiduki nagsumite usa ka aplikasyon alang sa pagrepaso bahin sa usa ka potensyal nga pagkahuyang sa HackerOne. Atol sa pag-analisar sa aplikasyon, ang usa ka HackerOne analista misulay sa pag-usab sa gisugyot nga paagi sa pag-hack, apan ang problema dili makopya, ug ang tubag gipadala ngadto sa tagsulat sa aplikasyon nga nangayo og dugang nga mga detalye. Sa samang higayon, ang analista wala makamatikod nga, uban sa mga resulta sa usa ka dili molampos nga tseke, siya wala tuyoa nagpadala sa sulod sa iyang sesyon Cookie. Sa partikular, sa panahon sa dayalogo, ang analista naghatag usa ka pananglitan sa usa ka hangyo sa HTTP nga gihimo sa curl utility, lakip ang mga header sa HTTP, diin nakalimot siya sa paghawan sa mga sulud sa sesyon nga Cookie.
Ang tigdukiduki nakamatikod niini nga pagdumala ug nakahimo sa pag-access sa usa ka pribilihiyo nga account sa hackerone.com pinaagi lamang sa pagsal-ot sa namatikdan nga kantidad sa Cookie nga dili kinahanglan nga moagi sa multi-factor authentication nga gigamit sa serbisyo. Posible ang pag-atake tungod kay wala gigapos sa hackerone.com ang sesyon sa IP o browser sa gumagamit. Ang problema nga session ID natangtang duha ka oras human mamantala ang leak report. Nakahukom nga bayran ang tigdukiduki og 20 ka libo ka dolyares alang sa pagpahibalo bahin sa problema.
Gisugdan sa HackerOne ang usa ka pag-audit aron analisahon ang posible nga panghitabo sa parehas nga pagtulo sa Cookie kaniadto ug aron mahibal-an ang mga potensyal nga pagtulo sa proprietary nga kasayuran bahin sa mga problema sa mga kostumer sa serbisyo. Ang pag-audit wala magpadayag sa ebidensya sa mga pagtulo sa nangagi ug nagtino nga ang tigdukiduki nga nagpakita sa problema makakuha og impormasyon mahitungod sa gibana-bana nga 5% sa tanan nga mga programa nga gipresentar sa serbisyo nga ma-access sa analista kansang session yawe gigamit.
Aron mapanalipdan batok sa susamang mga pag-atake sa umaabot, among gipatuman ang pagbugkos sa yawe sa sesyon sa IP address ug pagsala sa mga yawe sa sesyon ug mga token sa panghimatuod sa mga komento. Sa umaabot, nagplano sila nga pulihan ang pagbugkos sa IP nga adunay pagbugkos sa mga aparato sa gumagamit, tungod kay ang pagbugkos sa IP dili kombenyente alang sa mga tiggamit nga adunay dinamikong gi-isyu nga mga adres. Nadesisyonan usab nga palapdan ang sistema sa log nga adunay kasayuran bahin sa pag-access sa tiggamit sa datos ug ipatuman ang usa ka modelo sa granular nga pag-access alang sa mga analista sa datos sa kustomer.
Source: opennet.ru