La plateforme HackerOne, qui permet aux chercheurs en sécurité d'informer les développeurs sur l'identification des vulnérabilités et de recevoir des récompenses pour cela, a reçu à propos de votre propre piratage. L'un des chercheurs a réussi à accéder au compte d'un analyste de sécurité chez HackerOne, qui a la possibilité de consulter des documents classifiés, y compris des informations sur des vulnérabilités qui n'ont pas encore été corrigées. Depuis la création de la plateforme, HackerOne a versé aux chercheurs un total de 23 millions de dollars pour identifier les vulnérabilités des produits de plus de 100 clients, dont Twitter, Facebook, Google, Apple, Microsoft, Slack, le Pentagone et l'US Navy.
Il est à noter que le piratage du compte a été rendu possible grâce à une erreur humaine. L'un des chercheurs a soumis une demande d'examen concernant une vulnérabilité potentielle de HackerOne. Lors de l'analyse de l'application, un analyste de HackerOne a tenté de répéter la méthode de piratage proposée, mais le problème n'a pas pu être reproduit et une réponse a été envoyée à l'auteur de l'application demandant des détails supplémentaires. Dans le même temps, l'analyste n'a pas remarqué qu'en plus des résultats d'une vérification infructueuse, il avait envoyé par inadvertance le contenu de sa session Cookie. En particulier, lors du dialogue, l'analyste a donné un exemple de requête HTTP effectuée par l'utilitaire curl, comprenant des en-têtes HTTP, à partir de laquelle il a oublié d'effacer le contenu du cookie de session.
Le chercheur a remarqué cet oubli et a pu accéder à un compte privilégié sur hackerone.com en insérant simplement la valeur Cookie remarquée sans avoir à passer par l'authentification multifacteur utilisée dans le service. L'attaque a été possible car hackerone.com n'a pas lié la session à l'adresse IP ou au navigateur de l'utilisateur. L'ID de session problématique a été supprimé deux heures après la publication du rapport de fuite. Il a été décidé de payer au chercheur 20 XNUMX dollars pour l'avoir informé du problème.
HackerOne a lancé un audit pour analyser l'apparition possible de fuites de cookies similaires dans le passé et pour évaluer les fuites potentielles d'informations exclusives sur les problèmes des clients du service. L'audit n'a révélé aucune preuve de fuites dans le passé et a déterminé que le chercheur qui a démontré le problème pouvait obtenir des informations sur environ 5 % de tous les programmes présentés dans le service qui étaient accessibles à l'analyste dont la clé de session a été utilisée.
Pour nous protéger contre des attaques similaires à l'avenir, nous avons implémenté la liaison de la clé de session à l'adresse IP et le filtrage des clés de session et des jetons d'authentification dans les commentaires. À l'avenir, ils prévoient de remplacer la liaison à IP par une liaison aux appareils des utilisateurs, car la liaison à IP n'est pas pratique pour les utilisateurs disposant d'adresses émises dynamiquement. Il a également été décidé d'étendre le système de journalisation avec des informations sur l'accès des utilisateurs aux données et de mettre en œuvre un modèle d'accès granulaire pour les analystes aux données clients.
Source: opennet.ru