Platforma HackerOne, která umožňuje bezpečnostním výzkumníkům informovat vývojáře o identifikaci zranitelností a získávat za to odměny, získala o svém vlastním hackování. Jednomu z výzkumníků se podařilo získat přístup k účtu bezpečnostního analytika společnosti HackerOne, který má možnost prohlížet utajované materiály včetně informací o zranitelnostech, které dosud nebyly opraveny. Od založení platformy zaplatil HackerOne výzkumníkům celkem 23 milionů dolarů za identifikaci zranitelností v produktech od více než 100 klientů, včetně Twitteru, Facebooku, Googlu, Apple, Microsoftu, Slacku, Pentagonu a amerického námořnictva.
Je pozoruhodné, že převzetí účtu bylo možné kvůli lidské chybě. Jeden z výzkumníků podal žádost o přezkoumání potenciální zranitelnosti v HackerOne. Během analýzy aplikace se analytik HackerOne pokusil zopakovat navrhovanou metodu hackování, ale problém se nepodařilo zopakovat a autorovi aplikace byla zaslána odpověď s žádostí o další podrobnosti. Analytik si zároveň nevšiml, že spolu s výsledky neúspěšné kontroly nedopatřením odeslal obsah své relace Cookie. Konkrétně během dialogu analytik uvedl příklad HTTP požadavku ze strany obslužného programu curl, včetně HTTP hlaviček, ze kterých zapomněl vymazat obsah session Cookie.
Výzkumník si tohoto přehlédnutí všiml a dokázal získat přístup k privilegovanému účtu na hackerone.com pouhým vložením zaznamenané hodnoty cookie, aniž by musel procházet vícefaktorovou autentizací používanou ve službě. Útok byl možný, protože hackerone.com nesvázal relaci s IP nebo prohlížečem uživatele. ID problematické relace bylo odstraněno dvě hodiny po zveřejnění zprávy o úniku. Bylo rozhodnuto zaplatit výzkumníkovi 20 tisíc dolarů za informování o problému.
HackerOne zahájil audit s cílem analyzovat možný výskyt podobných úniků souborů cookie v minulosti a posoudit potenciální úniky chráněných informací o problémech zákazníků služeb. Audit neodhalil důkazy o únikech v minulosti a zjistil, že výzkumník, který problém prokázal, mohl získat informace o přibližně 5 % všech programů prezentovaných ve službě, které byly přístupné analytikovi, jehož klíč relace byl použit.
Pro ochranu před podobnými útoky v budoucnu jsme implementovali vazbu klíče relace na IP adresu a filtrování klíčů relace a autentizačních tokenů v komentářích. V budoucnu plánují nahradit vazbu na IP vazbou na uživatelská zařízení, protože vazba na IP je pro uživatele s dynamicky přidělovanými adresami nepohodlná. Bylo také rozhodnuto rozšířit log systém o informace o přístupu uživatelů k datům a implementovat model granulárního přístupu analytiků k zákaznickým datům.
Zdroj: opennet.ru