HackerOne-platformen, som giver sikkerhedsforskere mulighed for at informere udviklere om at identificere sårbarheder og modtage belønninger for dette, modtog om dit eget hacking. Det lykkedes en af forskerne at få adgang til kontoen hos en sikkerhedsanalytiker hos HackerOne, som har mulighed for at se klassificeret materiale, herunder oplysninger om sårbarheder, der endnu ikke er rettet. Siden platformens start har HackerOne betalt forskere i alt 23 millioner dollars for at identificere sårbarheder i produkter fra mere end 100 kunder, herunder Twitter, Facebook, Google, Apple, Microsoft, Slack, Pentagon og den amerikanske flåde.
Det er bemærkelsesværdigt, at kontoovertagelsen blev mulig på grund af menneskelige fejl. En af forskerne indsendte en ansøgning om anmeldelse om en potentiel sårbarhed i HackerOne. Under analysen af applikationen forsøgte en HackerOne-analytiker at gentage den foreslåede hackingmetode, men problemet kunne ikke gengives, og der blev sendt et svar til applikationens forfatter med anmodning om yderligere detaljer. Samtidig lagde analytikeren ikke mærke til, at han sammen med resultaterne af en mislykket kontrol utilsigtet sendte indholdet af sin session Cookie. Især under dialogen gav analytikeren et eksempel på en HTTP-anmodning lavet af curl-værktøjet, inklusive HTTP-headers, hvorfra han glemte at rydde indholdet af sessionens Cookie.
Forskeren bemærkede denne forglemmelse og var i stand til at få adgang til en privilegeret konto på hackerone.com ved blot at indsætte den bemærkede Cookie-værdi uden at skulle gennemgå den multi-faktor-godkendelse, der blev brugt i tjenesten. Angrebet var muligt, fordi hackerone.com ikke bandt sessionen til brugerens IP eller browser. Det problematiske sessions-id blev slettet to timer efter, at lækagerapporten blev offentliggjort. Det blev besluttet at betale forskeren 20 tusind dollars for at informere om problemet.
HackerOne iværksatte en revision for at analysere den mulige forekomst af lignende Cookie-lækager i fortiden og for at vurdere potentielle læk af proprietær information om problemerne med servicekunder. Revisionen afslørede ikke beviser for lækager i fortiden og fastslog, at den forsker, der påviste problemet, kunne få oplysninger om cirka 5 % af alle programmer præsenteret i tjenesten, som var tilgængelige for analytikeren, hvis sessionsnøgle blev brugt.
For at beskytte mod lignende angreb i fremtiden implementerede vi binding af sessionsnøglen til IP-adressen og filtrering af sessionsnøgler og autentificeringstokens i kommentarer. I fremtiden planlægger de at erstatte binding til IP med binding til brugerenheder, da binding til IP er ubelejligt for brugere med dynamisk udstedte adresser. Det blev også besluttet at udvide logsystemet med information om brugeradgang til data og implementere en model for granulær adgang for analytikere til kundedata.
Kilde: opennet.ru