Platforma HackerOne, koja omogućuje istraživačima sigurnosti da informiraju programere o identificiranju ranjivosti i primaju nagrade za to, dobila je o vlastitom hakiranju. Jedan od istraživača uspio je dobiti pristup računu sigurnosnog analitičara u HackerOneu, koji ima mogućnost pregledavanja povjerljivih materijala, uključujući informacije o ranjivostima koje još nisu popravljene. Od početka platforme, HackerOne je platio istraživačima ukupno 23 milijuna dolara za prepoznavanje ranjivosti u proizvodima više od 100 klijenata, uključujući Twitter, Facebook, Google, Apple, Microsoft, Slack, Pentagon i američku mornaricu.
Zanimljivo je da je preuzimanje računa postalo moguće zbog ljudske pogreške. Jedan od istraživača podnio je zahtjev za pregled o potencijalnoj ranjivosti u HackerOneu. Tijekom analize aplikacije, analitičar HackerOnea pokušao je ponoviti predloženu metodu hakiranja, ali problem nije mogao biti reproduciran, te je autoru aplikacije poslan odgovor u kojem su traženi dodatni detalji. Istodobno, analitičar nije primijetio da je, uz rezultate neuspješne provjere, nenamjerno poslao i sadržaj svog sesijskog kolačića. Konkretno, tijekom dijaloga, analitičar je naveo primjer HTTP zahtjeva koji je napravio uslužni program curl, uključujući HTTP zaglavlja, iz kojih je zaboravio očistiti sadržaj kolačića sesije.
Istraživač je primijetio ovaj propust i uspio je dobiti pristup privilegiranom računu na hackerone.com jednostavnim umetanjem zabilježene vrijednosti kolačića bez prolaska kroz višefaktorsku provjeru autentičnosti koja se koristi u usluzi. Napad je bio moguć jer hackerone.com nije povezao sesiju s IP-om korisnika ili preglednikom. ID problematične sesije izbrisan je dva sata nakon objave izvješća o curenju. Odlučeno je platiti istraživaču 20 tisuća dolara za informiranje o problemu.
HackerOne je pokrenuo reviziju kako bi analizirao moguću pojavu sličnih curenja kolačića u prošlosti i procijenio potencijalno curenje vlasničkih informacija o problemima korisnika usluge. Revizija nije otkrila dokaze o curenju podataka u prošlosti i utvrdila je da je istraživač koji je pokazao problem mogao dobiti informacije o približno 5% svih programa predstavljenih u usluzi koji su bili dostupni analitičaru čiji je ključ sesije korišten.
Kako bismo se zaštitili od sličnih napada u budućnosti, implementirali smo vezanje ključa sesije za IP adresu i filtriranje ključeva sesije i autentifikacijskih tokena u komentarima. U budućnosti planiraju zamijeniti vezanje na IP s vezanjem na korisničke uređaje, budući da je vezanje na IP nezgodno za korisnike s dinamički izdanim adresama. Također je odlučeno proširiti log sustav informacijama o pristupu korisnika podacima te implementirati model granularnog pristupa analitičara podacima o klijentima.
Izvor: opennet.ru