A plataforma HackerOne, que permite aos investigadores de seguridade informar aos desenvolvedores sobre a identificación de vulnerabilidades e recibir recompensas por iso, recibiu sobre o teu propio hackeo. Un dos investigadores logrou acceder á conta dun analista de seguridade de HackerOne, que ten a capacidade de ver materiais clasificados, incluíndo información sobre vulnerabilidades que aínda non foron corrixidas. Desde o inicio da plataforma, HackerOne pagou aos investigadores un total de 23 millóns de dólares para identificar vulnerabilidades en produtos de máis de 100 clientes, incluíndo Twitter, Facebook, Google, Apple, Microsoft, Slack, o Pentágono e a Mariña dos Estados Unidos.
Cabe destacar que a toma de posesión da conta fíxose posible debido a un erro humano. Un dos investigadores presentou unha solicitude de revisión sobre unha posible vulnerabilidade en HackerOne. Durante a análise da aplicación, un analista de HackerOne intentou repetir o método de pirateo proposto, pero o problema non se puido reproducir e enviouse unha resposta ao autor da aplicación solicitando detalles adicionais. Ao mesmo tempo, o analista non se decatou de que, xunto cos resultados dunha comprobación sen éxito, enviou inadvertidamente o contido da súa sesión Cookie. En particular, durante o diálogo, o analista deu un exemplo dunha solicitude HTTP realizada pola utilidade curl, incluíndo cabeceiras HTTP, das que se esqueceu de borrar o contido da Cookie de sesión.
O investigador notou este descoido e puido acceder a unha conta privilexiada en hackerone.com simplemente introducindo o valor de Cookie observado sen ter que pasar pola autenticación multifactor utilizada no servizo. O ataque foi posible porque hackerone.com non ligou a sesión á IP ou ao navegador do usuario. O ID da sesión problemática eliminouse dúas horas despois de que se publicara o informe da fuga. Decidiuse pagarlle ao investigador 20 mil dólares por informarse sobre o problema.
HackerOne iniciou unha auditoría para analizar a posible aparición de filtracións de cookies similares no pasado e para avaliar as posibles filtracións de información propietaria sobre os problemas dos clientes do servizo. A auditoría non revelou evidencias de filtracións no pasado e determinou que o investigador que demostrou o problema podería obter información sobre aproximadamente o 5% de todos os programas presentados no servizo aos que podía acceder o analista cuxa clave de sesión se utilizou.
Para protexernos contra ataques similares no futuro, implementamos a vinculación da clave de sesión ao enderezo IP e o filtrado das claves de sesión e dos tokens de autenticación nos comentarios. No futuro, planean substituír a vinculación a IP pola vinculación aos dispositivos dos usuarios, xa que a vinculación a IP é inconveniente para os usuarios con enderezos emitidos de forma dinámica. Tamén se decidiu ampliar o sistema de rexistro con información sobre o acceso dos usuarios aos datos e implementar un modelo de acceso granular para os analistas aos datos dos clientes.
Fonte: opennet.ru