Die HackerOne-Plattform, die es Sicherheitsforschern ermöglicht, Entwickler über die Identifizierung von Schwachstellen zu informieren und dafür Belohnungen zu erhalten, wurde erhalten über dein eigenes Hacking. Einem der Forscher gelang es, Zugriff auf das Konto eines Sicherheitsanalysten bei HackerOne zu erhalten, der die Möglichkeit hat, geheimes Material einzusehen, darunter auch Informationen zu Schwachstellen, die noch nicht behoben wurden. Seit der Gründung der Plattform hat HackerOne Forschern insgesamt 23 Millionen US-Dollar gezahlt, um Schwachstellen in Produkten von mehr als 100 Kunden zu identifizieren, darunter Twitter, Facebook, Google, Apple, Microsoft, Slack, das Pentagon und die US Navy.
Bemerkenswert ist, dass die Kontoübernahme durch menschliches Versagen möglich wurde. Einer der Forscher reichte einen Antrag auf Überprüfung einer potenziellen Sicherheitslücke in HackerOne ein. Während der Analyse der Anwendung versuchte ein HackerOne-Analyst, die vorgeschlagene Hacking-Methode zu wiederholen, das Problem konnte jedoch nicht reproduziert werden und es wurde eine Antwort an den Autor der Anwendung gesendet, in der er um weitere Details gebeten wurde. Gleichzeitig bemerkte der Analyst nicht, dass er zusammen mit den Ergebnissen einer erfolglosen Prüfung versehentlich den Inhalt seines Sitzungscookies gesendet hatte. Während des Dialogs nannte der Analyst insbesondere ein Beispiel für eine HTTP-Anfrage des Curl-Dienstprogramms, einschließlich HTTP-Headern, aus der er vergaß, den Inhalt des Sitzungscookies zu löschen.
Der Forscher bemerkte dieses Versehen und konnte sich Zugang zu einem privilegierten Konto auf hackerone.com verschaffen, indem er einfach den bemerkten Cookie-Wert einfügte, ohne die im Dienst verwendete Multi-Faktor-Authentifizierung durchlaufen zu müssen. Der Angriff war möglich, weil hackerone.com die Sitzung nicht an die IP oder den Browser des Benutzers gebunden hat. Die problematische Sitzungs-ID wurde zwei Stunden nach Veröffentlichung des Leak-Berichts gelöscht. Es wurde beschlossen, dem Forscher 20 Dollar für die Aufklärung über das Problem zu zahlen.
HackerOne hat eine Prüfung eingeleitet, um das mögliche Auftreten ähnlicher Cookie-Lecks in der Vergangenheit zu analysieren und mögliche Lecks geschützter Informationen über die Probleme von Servicekunden zu bewerten. Die Prüfung ergab keine Hinweise auf Lecks in der Vergangenheit und ergab, dass der Forscher, der das Problem demonstrierte, Informationen über etwa 5 % aller im Dienst präsentierten Programme erhalten konnte, die für den Analysten, dessen Sitzungsschlüssel verwendet wurde, zugänglich waren.
Zum Schutz vor ähnlichen Angriffen in der Zukunft haben wir die Bindung des Sitzungsschlüssels an die IP-Adresse und die Filterung von Sitzungsschlüsseln und Authentifizierungstokens in Kommentaren implementiert. In Zukunft planen sie, die Bindung an IP durch die Bindung an Benutzergeräte zu ersetzen, da die Bindung an IP für Benutzer mit dynamisch vergebenen Adressen unpraktisch ist. Es wurde außerdem beschlossen, das Protokollsystem um Informationen über den Benutzerzugriff auf Daten zu erweitern und ein Modell des granularen Zugriffs für Analysten auf Kundendaten zu implementieren.
Source: opennet.ru