La plataforma HackerOne, que permite a los investigadores de seguridad informar a los desarrolladores sobre la identificación de vulnerabilidades y recibir recompensas por ello, recibió sobre tu propio hackeo. Uno de los investigadores logró acceder a la cuenta de un analista de seguridad de HackerOne, que tiene la capacidad de ver materiales clasificados, incluida información sobre vulnerabilidades que aún no se han solucionado. Desde el inicio de la plataforma, HackerOne ha pagado a los investigadores un total de 23 millones de dólares para identificar vulnerabilidades en productos de más de 100 clientes, incluidos Twitter, Facebook, Google, Apple, Microsoft, Slack, el Pentágono y la Marina de los EE. UU.
Cabe destacar que la apropiación de la cuenta fue posible debido a un error humano. Uno de los investigadores presentó una solicitud de revisión sobre una posible vulnerabilidad en HackerOne. Durante el análisis de la aplicación, un analista de HackerOne intentó repetir el método de hackeo propuesto, pero el problema no pudo reproducirse y se envió una respuesta al autor de la aplicación solicitando detalles adicionales. Al mismo tiempo, el analista no se dio cuenta de que, junto con los resultados de una verificación fallida, envió inadvertidamente el contenido de su sesión Cookie. En particular, durante el diálogo, el analista dio un ejemplo de una solicitud HTTP realizada por la utilidad curl, incluidos los encabezados HTTP, de la cual olvidó borrar el contenido de la cookie de sesión.
El investigador notó este descuido y pudo obtener acceso a una cuenta privilegiada en hackerone.com simplemente insertando el valor de Cookie observado sin tener que pasar por la autenticación multifactor utilizada en el servicio. El ataque fue posible porque hackerone.com no vinculó la sesión a la IP o al navegador del usuario. La ID de sesión problemática se eliminó dos horas después de que se publicó el informe de filtración. Se decidió pagar al investigador 20 mil dólares por informar sobre el problema.
HackerOne inició una auditoría para analizar la posible ocurrencia de filtraciones de Cookies similares en el pasado y evaluar posibles filtraciones de información patentada sobre los problemas de los clientes del servicio. La auditoría no reveló evidencia de filtraciones en el pasado y determinó que el investigador que demostró el problema pudo obtener información sobre aproximadamente el 5% de todos los programas presentados en el servicio que eran accesibles para el analista cuya clave de sesión se utilizó.
Para protegernos contra ataques similares en el futuro, implementamos la vinculación de la clave de sesión a la dirección IP y el filtrado de claves de sesión y tokens de autenticación en los comentarios. En el futuro, planean reemplazar la vinculación a IP con la vinculación a dispositivos de usuario, ya que la vinculación a IP es inconveniente para los usuarios con direcciones emitidas dinámicamente. También se decidió ampliar el sistema de registro con información sobre el acceso de los usuarios a los datos e implementar un modelo de acceso granular de los analistas a los datos de los clientes.
Fuente: opennet.ru