A plataforma HackerOne, que permite aos investigadores de seguridade informar aos desenvolvedores sobre a identificación de vulnerabilidades e recibir recompensas por iso, recibiu
Cabe destacar que a toma de posesión da conta fíxose posible debido a un erro humano. Un dos investigadores presentou unha solicitude de revisión sobre unha posible vulnerabilidade en HackerOne. Durante a análise da aplicación, un analista de HackerOne intentou repetir o método de pirateo proposto, pero o problema non se puido reproducir e enviouse unha resposta ao autor da aplicación solicitando detalles adicionais. Ao mesmo tempo, o analista non se decatou de que, xunto cos resultados dunha comprobación sen éxito, enviou inadvertidamente o contido da súa sesión Cookie. En particular, durante o diálogo, o analista deu un exemplo dunha solicitude HTTP realizada pola utilidade curl, incluíndo cabeceiras HTTP, das que se esqueceu de borrar o contido da Cookie de sesión.
O investigador notou este descoido e puido acceder a unha conta privilexiada en hackerone.com simplemente introducindo o valor de Cookie observado sen ter que pasar pola autenticación multifactor utilizada no servizo. O ataque foi posible porque hackerone.com non ligou a sesión á IP ou ao navegador do usuario. O ID da sesión problemática eliminouse dúas horas despois de que se publicara o informe da fuga. Decidiuse pagarlle ao investigador 20 mil dólares por informarse sobre o problema.
HackerOne iniciou unha auditoría para analizar a posible aparición de filtracións de cookies similares no pasado e para avaliar as posibles filtracións de información propietaria sobre os problemas dos clientes do servizo. A auditoría non revelou evidencias de filtracións no pasado e determinou que o investigador que demostrou o problema podería obter información sobre aproximadamente o 5% de todos os programas presentados no servizo aos que podía acceder o analista cuxa clave de sesión se utilizou.
Para protexernos contra ataques similares no futuro, implementamos a vinculación da clave de sesión ao enderezo IP e o filtrado das claves de sesión e dos tokens de autenticación nos comentarios. No futuro, planean substituír a vinculación a IP pola vinculación aos dispositivos dos usuarios, xa que a vinculación a IP é inconveniente para os usuarios con enderezos emitidos de forma dinámica. Tamén se decidiu ampliar o sistema de rexistro con información sobre o acceso dos usuarios aos datos e implementar un modelo de acceso granular para os analistas aos datos dos clientes.
Fonte: opennet.ru