Dandalin HackerOne, wanda ke ba masu binciken tsaro damar sanar da masu haɓakawa game da gano raunin da kuma samun lada don wannan, an karɓa. game da ku na hacking. Ɗaya daga cikin masu binciken ya yi nasarar samun damar yin amfani da asusun wani masanin tsaro a HackerOne, wanda ke da ikon duba kayan da aka keɓe, ciki har da bayanai game da raunin da ba a daidaita ba tukuna. Tun lokacin da aka kafa dandalin, HackerOne ya biya masu bincike jimillar dala miliyan 23 don gano lahani a cikin kayayyaki daga abokan ciniki sama da 100, wadanda suka hada da Twitter, Facebook, Google, Apple, Microsoft, Slack, Pentagon, da Sojojin ruwa na Amurka.
Abin lura ne cewa karɓar asusun ya zama mai yiwuwa saboda kuskuren ɗan adam. Ɗaya daga cikin masu binciken ya ƙaddamar da aikace-aikacen don dubawa game da yuwuwar rauni a cikin HackerOne. A yayin nazarin aikace-aikacen, wani manazarci na HackerOne ya yi ƙoƙarin maimaita hanyar yin kutse, amma ba a iya sake haifar da matsalar ba, kuma an aika da martani ga marubucin aikace-aikacen yana neman ƙarin cikakkun bayanai. A lokaci guda, manazarcin bai lura cewa, tare da sakamakon binciken da bai yi nasara ba, ba da gangan ya aika da abubuwan da ke cikin kuki na zamansa ba. Musamman, a yayin tattaunawar, manazarcin ya ba da misali na buƙatun HTTP ta hanyar curl utility, gami da taken HTTP, wanda ya manta da share abubuwan da ke cikin zaman Kuki.
Mai binciken ya lura da wannan sa ido kuma ya sami damar samun dama ga asusu mai gata akan hackerone.com ta hanyar shigar da ƙimar Kuki da aka lura kawai ba tare da shiga tabbacin abubuwa masu yawa da aka yi amfani da su a cikin sabis ɗin ba. Harin ya yiwu ne saboda hackerone.com bai daura zaman da IP ko browser na mai amfani ba. An share ID ɗin zaman mai matsala sa'o'i biyu bayan an buga rahoton yaɗuwar. An yanke shawarar biyan mai binciken dala dubu 20 don sanar da matsalar.
HackerOne ya ƙaddamar da bincike don nazarin yiwuwar faruwar irin wannan leaks na kuki a baya da kuma tantance yuwuwar ɗumbin bayanan mallakar mallaka game da matsalolin abokan cinikin sabis. Binciken bai bayyana shaidar leaks a baya ba kuma ya ƙaddara cewa mai binciken da ya nuna matsalar zai iya samun bayanai game da kusan kashi 5% na duk shirye-shiryen da aka gabatar a cikin sabis ɗin waɗanda ke da damar mai sharhi wanda aka yi amfani da maɓallin zaman.
Don kare kai daga irin wannan hari a nan gaba, mun aiwatar da ɗaure maɓallin zaman zuwa adireshin IP da tace maɓallan zaman da alamun tantancewa a cikin sharhi. A nan gaba, suna shirin maye gurbin haɗin kai zuwa IP tare da ɗaure ga na'urorin masu amfani, tun da haɗawa da IP ba shi da kyau ga masu amfani da adiresoshin da aka ba da su. An kuma yanke shawarar faɗaɗa tsarin log tare da bayanai game da samun damar mai amfani ga bayanai da aiwatar da samfurin samun dama ga masu sharhi zuwa bayanan abokin ciniki.
source: budenet.ru