It HackerOne-platfoarm, wêrtroch befeiligingsûndersikers ûntwikkelders kinne ynformearje oer it identifisearjen fan kwetsberens en dêrfoar beleanningen krije, krige oer jo eigen hacking. Ien fan 'e ûndersikers slagge om tagong te krijen ta it akkount fan in befeiligingsanalist by HackerOne, dy't de mooglikheid hat om klassifisearre materialen te besjen, ynklusyf ynformaasje oer kwetsberens dy't noch net fêst binne. Sûnt de oprjochting fan it platfoarm hat HackerOne ûndersikers in totaal fan $ 23 miljoen betelle om kwetsberens te identifisearjen yn produkten fan mear dan 100 kliïnten, ynklusyf Twitter, Facebook, Google, Apple, Microsoft, Slack, it Pentagon, en de Amerikaanske marine.
Opmerklik is dat de rekkenoername mooglik waard troch minsklike flater. Ien fan 'e ûndersikers hat in oanfraach yntsjinne foar resinsje oer in potinsjele kwetsberens yn HackerOne. Tidens de analyze fan 'e applikaasje besocht in HackerOne-analist de foarstelde hackmetoade te werheljen, mar it probleem koe net wurde reprodusearre, en in antwurd waard stjoerd nei de skriuwer fan' e applikaasje dy't ekstra details frege. Tagelyk hat de analist net opmurken dat, tegearre mei de resultaten fan in mislearre kontrôle, hy per ongelok de ynhâld fan syn sesje Cookie stjoerde. Benammen tidens de dialooch joech de analist in foarbyld fan in HTTP-fersyk makke troch it curl-hulpprogramma, ynklusyf HTTP-headers, wêrfan hy fergeat de ynhâld fan 'e sesje Cookie te wiskjen.
De ûndersiker merkte dit tafersjoch op en koe tagong krije ta in befoarrjochte akkount op hackerone.com troch gewoan de opmurken Cookie-wearde yn te foegjen sûnder troch de multi-factor-autentikaasje te gean dy't brûkt waard yn 'e tsjinst. De oanfal wie mooglik omdat hackerone.com de sesje net bûn oan it IP of browser fan de brûker. De problematyske sesje-ID waard twa oeren nei't it lekrapport publisearre waard wiske. It waard besletten om de ûndersiker 20 tûzen dollar te beteljen foar it ynformearjen fan it probleem.
HackerOne inisjearre in kontrôle om it mooglike foarkommen fan ferlykbere Cookie-lekken yn it ferline te analysearjen en om potinsjele lekken fan proprietêre ynformaasje te beoardieljen oer de problemen fan tsjinstklanten. De kontrôle die bliken gjin bewiis fan lekkages yn it ferline en bepaald dat de ûndersiker dy't oantoand it probleem koe krije ynformaasje oer likernôch 5% fan alle programma presintearre yn de tsjinst dy't tagonklik wiene foar de analyst waans sesje kaai waard brûkt.
Om te beskermjen tsjin ferlykbere oanfallen yn 'e takomst, ymplementearre wy bining fan' e sesje-kaai oan it IP-adres en filterjen fan sesje-kaaien en autentikaasje-tokens yn opmerkingen. Yn 'e takomst binne se fan plan om bining oan IP te ferfangen mei bining oan brûkersapparaten, om't bining oan IP ûngemaklik is foar brûkers mei dynamysk útjûne adressen. It waard ek besletten om it logsysteem út te wreidzjen mei ynformaasje oer brûkers tagong ta gegevens en in model fan granulêre tagong foar analysten nei klantgegevens te ymplementearjen.
Boarne: opennet.ru