Η πλατφόρμα HackerOne, η οποία επιτρέπει στους ερευνητές ασφάλειας να ενημερώνουν τους προγραμματιστές σχετικά με τον εντοπισμό τρωτών σημείων και να λαμβάνουν ανταμοιβές για αυτό, έλαβε για το δικό σας χακάρισμα. Ένας από τους ερευνητές κατάφερε να αποκτήσει πρόσβαση στον λογαριασμό ενός αναλυτή ασφαλείας στο HackerOne, ο οποίος έχει τη δυνατότητα να βλέπει διαβαθμισμένο υλικό, συμπεριλαμβανομένων πληροφοριών σχετικά με τρωτά σημεία που δεν έχουν ακόμη επιδιορθωθεί. Από την ίδρυση της πλατφόρμας, το HackerOne έχει πληρώσει ερευνητές συνολικά 23 εκατομμύρια δολάρια για να εντοπίσουν ευπάθειες σε προϊόντα από περισσότερους από 100 πελάτες, συμπεριλαμβανομένων των Twitter, Facebook, Google, Apple, Microsoft, Slack, το Πεντάγωνο και το Ναυτικό των ΗΠΑ.
Αξιοσημείωτο είναι ότι η εξαγορά λογαριασμού κατέστη δυνατή λόγω ανθρώπινου λάθους. Ένας από τους ερευνητές υπέβαλε αίτηση για έλεγχο σχετικά με μια πιθανή ευπάθεια στο HackerOne. Κατά την ανάλυση της εφαρμογής, ένας αναλυτής του HackerOne προσπάθησε να επαναλάβει την προτεινόμενη μέθοδο hacking, αλλά το πρόβλημα δεν μπόρεσε να αναπαραχθεί και εστάλη μια απάντηση στον συντάκτη της εφαρμογής ζητώντας πρόσθετες λεπτομέρειες. Ταυτόχρονα, ο αναλυτής δεν παρατήρησε ότι, μαζί με τα αποτελέσματα ενός ανεπιτυχούς ελέγχου, έστειλε κατά λάθος το περιεχόμενο του Cookie της συνεδρίας του. Συγκεκριμένα, κατά τη διάρκεια του διαλόγου, ο αναλυτής έδωσε ένα παράδειγμα ενός αιτήματος HTTP που υποβλήθηκε από το βοηθητικό πρόγραμμα curl, συμπεριλαμβανομένων των κεφαλίδων HTTP, από το οποίο ξέχασε να διαγράψει τα περιεχόμενα του Cookie συνεδρίας.
Ο ερευνητής παρατήρησε αυτήν την παράβλεψη και μπόρεσε να αποκτήσει πρόσβαση σε έναν προνομιακό λογαριασμό στο hackerone.com εισάγοντας απλώς την παρατήρηση της τιμής του cookie χωρίς να χρειάζεται να περάσει από τον έλεγχο ταυτότητας πολλαπλών παραγόντων που χρησιμοποιείται στην υπηρεσία. Η επίθεση ήταν δυνατή επειδή το hackerone.com δεν δέσμευσε τη συνεδρία με την IP ή το πρόγραμμα περιήγησης του χρήστη. Το προβληματικό αναγνωριστικό περιόδου λειτουργίας διαγράφηκε δύο ώρες μετά τη δημοσίευση της αναφοράς διαρροής. Αποφασίστηκε να πληρωθούν στον ερευνητή 20 χιλιάδες δολάρια για την ενημέρωση για το πρόβλημα.
Η HackerOne ξεκίνησε έναν έλεγχο για να αναλύσει την πιθανή εμφάνιση παρόμοιων διαρροών Cookie στο παρελθόν και να αξιολογήσει πιθανές διαρροές αποκλειστικών πληροφοριών σχετικά με τα προβλήματα των πελατών υπηρεσιών. Ο έλεγχος δεν αποκάλυψε στοιχεία για διαρροές στο παρελθόν και διαπίστωσε ότι ο ερευνητής που απέδειξε το πρόβλημα μπορούσε να λάβει πληροφορίες για το 5% περίπου όλων των προγραμμάτων που παρουσιάζονταν στην υπηρεσία και ήταν προσβάσιμα στον αναλυτή του οποίου χρησιμοποιήθηκε το κλειδί συνεδρίας.
Για προστασία από παρόμοιες επιθέσεις στο μέλλον, εφαρμόσαμε τη σύνδεση του κλειδιού συνεδρίας στη διεύθυνση IP και το φιλτράρισμα των κλειδιών περιόδου λειτουργίας και των διακριτικών ελέγχου ταυτότητας στα σχόλια. Στο μέλλον, σχεδιάζουν να αντικαταστήσουν τη σύνδεση με IP με δέσμευση σε συσκευές χρηστών, καθώς η σύνδεση με IP δεν είναι βολική για χρήστες με διευθύνσεις που εκδίδονται δυναμικά. Αποφασίστηκε επίσης να επεκταθεί το σύστημα καταγραφής με πληροφορίες σχετικά με την πρόσβαση των χρηστών σε δεδομένα και να εφαρμοστεί ένα μοντέλο αναλυτικής πρόσβασης για αναλυτές στα δεδομένα πελατών.
Πηγή: opennet.ru