La platformo HackerOne, kiu permesas al sekurecaj esploristoj informi programistojn pri identigado de vundeblecoj kaj ricevi rekompencojn pro tio, ricevis pri via propra hakado. Unu el la esploristoj sukcesis akiri aliron al la konto de sekureca analizisto ĉe HackerOne, kiu havas la kapablon vidi klasigitajn materialojn, inkluzive de informoj pri vundeblecoj, kiuj ankoraŭ ne estis riparitaj. Ekde la komenco de la platformo, HackerOne pagis al esploristoj entute 23 milionojn USD por identigi vundeblecojn en produktoj de pli ol 100 klientoj, inkluzive de Twitter, Facebook, Google, Apple, Microsoft, Slack, la Pentagono kaj la Usona Mararmeo.
Estas rimarkinde, ke la konto-transpreno fariĝis ebla pro homa eraro. Unu el la esploristoj prezentis peton por revizio pri ebla vundebleco en HackerOne. Dum la analizo de la aplikaĵo, analizisto de HackerOne provis ripeti la proponitan hakan metodon, sed la problemo ne povis esti reproduktita, kaj respondo estis sendita al la aŭtoro de la aplikaĵo petante pliajn detalojn. Samtempe, la analizisto ne rimarkis, ke, kune kun la rezultoj de malsukcesa kontrolo, li preterintence sendis la enhavon de sia sesio Kuketo. Precipe, dum la dialogo, la analizisto donis ekzemplon de HTTP-peto farita de la bukla ilo, inkluzive de HTTP-kapoj, de kiuj li forgesis forigi la enhavon de la sesio Kuketo.
La esploristo rimarkis ĉi tiun superrigardon kaj povis akiri aliron al privilegia konto ĉe hackerone.com simple enmetante la rimarkitan Kuketo-valoron sen devi trapasi la multfaktoran aŭtentikigon uzatan en la servo. La atako estis ebla ĉar hackerone.com ne ligis la sesion al la IP aŭ retumilo de la uzanto. La problema sesio-ID estis forigita du horojn post kiam la lika raporto estis publikigita. Oni decidis pagi al la esploristo 20 mil dolarojn pro informado pri la problemo.
HackerOne iniciatis revizion por analizi la eblan okazon de similaj Kuketaj likoj en la pasinteco kaj por taksi eblajn likojn de proprietaj informoj pri la problemoj de servaj klientoj. La revizio ne malkaŝis pruvojn pri likoj en la pasinteco kaj determinis, ke la esploristo, kiu pruvis la problemon, povus akiri informojn pri proksimume 5% de ĉiuj programoj prezentitaj en la servo, kiuj estis alireblaj por la analizisto, kies sesioŝlosilo estis uzata.
Por protekti kontraŭ similaj atakoj estontece, ni efektivigis ligon de la sesioŝlosilo al la IP-adreso kaj filtradon de sesiaj ŝlosiloj kaj aŭtentikigaj signoj en komentoj. En la estonteco, ili planas anstataŭigi ligadon al IP per ligado al uzantaj aparatoj, ĉar ligado al IP estas maloportuna por uzantoj kun dinamike eldonitaj adresoj. Estis ankaŭ decidite vastigi la protokolsistemon kun informoj pri uzanta aliro al datumoj kaj efektivigi modelon de granula aliro por analizistoj al klientdatenoj.
fonto: opennet.ru