HackerOne'i platvorm, mis võimaldab turvauurijatel teavitada arendajaid haavatavuste tuvastamisest ja saada selle eest preemiaid, sai sinu enda häkkimise kohta. Ühel teadlastest õnnestus pääseda ligi HackerOne'i turvaanalüütiku kontole, kellel on võimalus vaadata salastatud materjale, sealhulgas teavet turvaaukude kohta, mida pole veel parandatud. Alates platvormi loomisest on HackerOne maksnud teadlastele kokku 23 miljonit dollarit, et tuvastada enam kui 100 kliendi, sealhulgas Twitteri, Facebooki, Google'i, Apple'i, Microsofti, Slacki, Pentagoni ja USA mereväe toodete haavatavused.
On tähelepanuväärne, et konto ülevõtmine sai võimalikuks inimliku eksituse tõttu. Üks teadlastest esitas HackerOne'i võimaliku haavatavuse kohta läbivaatamise taotluse. Rakenduse analüüsimise käigus üritas HackerOne’i analüütik korrata pakutud häkkimismeetodit, kuid probleemi ei õnnestunud taasesitada ning rakenduse autorile saadeti vastus, milles sooviti lisateavet. Samal ajal ei märganud analüütik, et koos ebaõnnestunud kontrolli tulemustega saatis ta tahtmatult oma seansi küpsise sisu. Eelkõige tõi analüütik dialoogi ajal näite curl-utiliidi HTTP-päringust, sealhulgas HTTP-päistest, millest ta unustas seansiküpsise sisu kustutada.
Uurija märkas seda möödalaskmist ja pääses juurdepääsu privilegeeritud kontole saidil hackerone.com, sisestades lihtsalt märgitud küpsise väärtuse, ilma et oleks pidanud läbima teenuses kasutatavat mitmefaktorilist autentimist. Rünnak sai võimalikuks, kuna hackerone.com ei sidunud seanssi kasutaja IP või brauseriga. Probleemne seansi ID kustutati kaks tundi pärast lekkearuande avaldamist. Teadlasele otsustati probleemist teavitamise eest maksta 20 tuhat dollarit.
HackerOne algatas auditi, et analüüsida sarnaste küpsiste lekete esinemist minevikus ja hinnata võimalikke omandiõigusega kaitstud teabe lekkeid teenuse klientide probleemide kohta. Auditi käigus ei leitud tõendeid varasemate lekete kohta ja tehti kindlaks, et probleemi demonstreerinud uurija sai teavet ligikaudu 5% kõigist teenuses esitatud programmidest, mis olid juurdepääsetavad analüütikule, kelle seansivõtit kasutati.
Tulevikus sarnaste rünnakute eest kaitsmiseks rakendasime seansivõtme sidumise IP-aadressiga ning seansivõtmete ja autentimislubade filtreerimise kommentaarides. Tulevikus kavatsevad nad IP-ga sidumise asendada kasutajaseadmetega sidumisega, kuna IP-ga sidumine on dünaamiliselt väljastatud aadressidega kasutajatele ebamugav. Samuti otsustati logisüsteemi laiendada teabega kasutajate juurdepääsu kohta andmetele ja rakendada analüütikute üksikasjaliku juurdepääsu mudel klientide andmetele.
Allikas: opennet.ru