HackerOne-alusta, jonka avulla tietoturvatutkijat voivat tiedottaa kehittäjille haavoittuvuuksien tunnistamisesta ja saada siitä palkintoja, sai omasta hakkeroinnistasi. Yksi tutkijoista onnistui pääsemään HackerOnen tietoturva-analyytikon tiliin, jolla on mahdollisuus tarkastella turvaluokiteltua materiaalia, mukaan lukien tiedot haavoittuvuuksista, joita ei ole vielä korjattu. Alustan alusta lähtien HackerOne on maksanut tutkijoille yhteensä 23 miljoonaa dollaria tunnistaakseen haavoittuvuuksia yli 100 asiakkaan tuotteissa, mukaan lukien Twitter, Facebook, Google, Apple, Microsoft, Slack, Pentagon ja US Navy.
On huomionarvoista, että tilin haltuunotto tuli mahdolliseksi inhimillisen erehdyksen vuoksi. Yksi tutkijoista jätti tarkistushakemuksen HackerOnen mahdollisesta haavoittuvuudesta. Sovelluksen analysoinnin aikana HackerOne-analyytikko yritti toistaa ehdotetun hakkerointimenetelmän, mutta ongelmaa ei voitu toistaa, ja sovelluksen kirjoittajalle lähetettiin vastaus, jossa pyydettiin lisätietoja. Samanaikaisesti analyytikko ei huomannut, että epäonnistuneen tarkastuksen tulosten ohella hän lähetti vahingossa istuntoevästeen sisällön. Erityisesti vuoropuhelun aikana analyytikko antoi esimerkin curl-apuohjelman tekemästä HTTP-pyynnöstä sisältäen HTTP-otsikot, joista hän unohti tyhjentää istuntoevästeen sisällön.
Tutkija huomasi tämän laiminlyönnin ja pääsi etuoikeutetulle tilille osoitteessa hackerone.com yksinkertaisesti lisäämällä havaitun evästeen arvon ilman, että hänen piti käydä läpi palvelussa käytettyä monitekijätodennusta. Hyökkäys oli mahdollinen, koska hackerone.com ei sitonut istuntoa käyttäjän IP-osoitteeseen tai selaimeen. Ongelmallinen istuntotunnus poistettiin kaksi tuntia vuotoraportin julkaisemisen jälkeen. Päätettiin maksaa tutkijalle 20 tuhatta dollaria ongelmasta ilmoittamisesta.
HackerOne käynnisti auditoinnin analysoidakseen mahdollisia vastaavia evästevuotoja aiemmin ja arvioidakseen mahdollisia omistusoikeudellisten tietojen vuotoja palveluasiakkaiden ongelmista. Tarkastuksessa ei havaittu näyttöä aikaisemmista vuodoista ja todettiin, että ongelman osoittanut tutkija saattoi saada tietoa noin 5 %:sta kaikista palvelussa esitellyistä ohjelmista, jotka olivat sen analyytikon käytettävissä, jonka istuntoavainta käytettiin.
Suojautuaksemme vastaavilta hyökkäyksiltä tulevaisuudessa otimme käyttöön istuntoavaimen sitomisen IP-osoitteeseen sekä istuntoavainten ja todennustunnusten suodatuksen kommenteissa. Jatkossa he aikovat korvata IP-sitoutumisen käyttäjän laitteisiin sitoutumisella, koska IP-sitoutuminen on hankalaa käyttäjille, joilla on dynaamisesti annettu osoite. Lokijärjestelmää päätettiin myös laajentaa tiedoilla käyttäjien pääsystä tietoihin ja ottaa käyttöön malli, jossa analyytikot voivat päästä käsiksi asiakastietoihin.
Lähde: opennet.ru