پلتفرم HackerOne که به محققان امنیتی اجازه میدهد توسعهدهندگان را در مورد شناسایی آسیبپذیریها آگاه کنند و برای این کار پاداش دریافت کنند، دریافت کرد.
قابل ذکر است که تصاحب حساب به دلیل خطای انسانی امکان پذیر شد. یکی از محققان درخواستی را برای بررسی در مورد یک آسیب پذیری احتمالی در HackerOne ارسال کرد. در طول تجزیه و تحلیل برنامه، یک تحلیلگر HackerOne سعی کرد روش هک پیشنهادی را تکرار کند، اما مشکل قابل تکرار نبود و پاسخی برای نویسنده برنامه ارسال شد و جزئیات بیشتری را درخواست کرد. در همان زمان، تحلیلگر متوجه نشد که همراه با نتایج یک بررسی ناموفق، او به طور ناخواسته محتوای Cookie جلسه خود را ارسال کرده است. به طور خاص، در طول گفت و گو، تحلیلگر نمونه ای از درخواست HTTP ارائه شده توسط ابزار curl، از جمله هدرهای HTTP را ارائه کرد، که فراموش کرد محتویات Cookie جلسه را پاک کند.
محقق متوجه این نظارت شد و توانست به سادگی با درج مقدار کوکی مشاهده شده بدون نیاز به احراز هویت چند عاملی مورد استفاده در سرویس، به یک حساب کاربری ممتاز در hackerone.com دسترسی پیدا کند. این حمله ممکن بود زیرا hackerone.com جلسه را به IP یا مرورگر کاربر متصل نکرده بود. شناسه جلسه مشکل دار دو ساعت پس از انتشار گزارش نشت حذف شد. مقرر شد برای اطلاع از مشکل، مبلغ 20 هزار دلار به محقق پرداخت شود.
HackerOne ممیزی را برای تجزیه و تحلیل وقوع احتمالی نشت کوکی های مشابه در گذشته و ارزیابی نشت اطلاعات اختصاصی در مورد مشکلات مشتریان خدمات آغاز کرد. ممیزی شواهدی از نشت در گذشته نشان نداد و مشخص کرد که محققی که مشکل را نشان میدهد میتواند اطلاعاتی در مورد تقریباً 5 درصد از همه برنامههای ارائهشده در سرویس به دست آورد که برای تحلیلگری که از کلید جلسهاش استفاده شده بود، در دسترس بود.
برای محافظت در برابر حملات مشابه در آینده، اتصال کلید جلسه به آدرس IP و فیلتر کردن کلیدهای جلسه و نشانه های احراز هویت را در نظرات پیاده سازی کردیم. در آینده، آنها قصد دارند اتصال به IP را با اتصال به دستگاههای کاربر جایگزین کنند، زیرا اتصال به IP برای کاربران با آدرسهای صادر شده به صورت پویا ناخوشایند است. همچنین تصمیم بر آن شد که سیستم گزارش با اطلاعاتی در مورد دسترسی کاربران به داده ها گسترش یابد و مدلی از دسترسی گرانول برای تحلیلگران به داده های مشتری پیاده سازی شود.
منبع: opennet.ru