Megkapta a HackerOne platformot, amely lehetővé teszi a biztonsági kutatók számára, hogy tájékoztassák a fejlesztőket a sebezhetőségek azonosításáról, és jutalmat kapjanak ezért a saját hackelésedről. Az egyik kutatónak sikerült hozzáférnie a HackerOne biztonsági elemzőjének fiókjához, aki képes megtekinteni a minősített anyagokat, beleértve a még nem javított sebezhetőségekre vonatkozó információkat is. A platform megalakulása óta a HackerOne összesen 23 millió dollárt fizetett kutatóknak azért, hogy több mint 100 kliens – köztük a Twitter, a Facebook, a Google, az Apple, a Microsoft, a Slack, a Pentagon és az amerikai haditengerészet – termékeinek sebezhetőségét azonosítsák.
Figyelemre méltó, hogy a számlaátvétel emberi mulasztás miatt vált lehetségessé. Az egyik kutató felülvizsgálati kérelmet nyújtott be a HackerOne lehetséges sebezhetőségével kapcsolatban. Az alkalmazás elemzése során a HackerOne elemzője megpróbálta megismételni a javasolt hackelési módszert, de a probléma nem reprodukálható, és további részleteket kérő választ küldtek az alkalmazás készítőjének. Ugyanakkor az elemző nem vette észre, hogy a sikertelen ellenőrzés eredményeivel együtt véletlenül elküldte a Cookie munkamenetének tartalmát. A párbeszéd során az elemző egy példát hozott a curl segédprogram által küldött HTTP-kérésre, beleértve a HTTP-fejléceket is, amelyekből elfelejtette törölni a session Cookie tartalmát.
A kutató észrevette ezt a tévedést, és hozzáférhetett egy privilegizált fiókhoz a hackerone.com oldalon, egyszerűen beillesztve a észrevett Cookie-értéket anélkül, hogy át kellett volna mennie a szolgáltatásban használt többtényezős hitelesítésen. A támadás azért lehetséges, mert a hackerone.com nem kötötte a munkamenetet a felhasználó IP-címéhez vagy böngészőjéhez. A problémás munkamenet-azonosítót két órával a szivárgási jelentés közzététele után törölték. Úgy döntöttek, hogy 20 ezer dollárt fizetnek a kutatónak a problémáról való tájékoztatásért.
A HackerOne auditot kezdeményezett, hogy elemezze a múltbeli hasonló cookie-szivárgások lehetséges előfordulását, és felmérje a védett információk esetleges kiszivárgását a szolgáltatást igénybe vevő ügyfelek problémáival kapcsolatban. Az ellenőrzés nem tárt fel bizonyítékot a múltban fennálló szivárgásokra, és megállapította, hogy a problémát kimutató kutató a szolgáltatásban bemutatott összes olyan program körülbelül 5%-áról tudott információkat szerezni, amelyek elérhetők voltak a munkamenetkulcsot használó elemző számára.
A jövőbeni hasonló támadások elleni védelem érdekében bevezettük a munkamenetkulcs IP-címhez való kötését, valamint a munkamenetkulcsok és hitelesítési tokenek megjegyzésekben történő szűrését. A jövőben azt tervezik, hogy az IP-hez kötést felváltják a felhasználói eszközökhöz való kötődéssel, mivel az IP-hez való kötés kényelmetlen a dinamikusan kiadott címekkel rendelkező felhasználók számára. Arról is döntöttek, hogy a naplórendszert kibővítik a felhasználók adatokhoz való hozzáférésével kapcsolatos információkkal, és bevezetik az elemzők számára az ügyféladatokhoz való részletes hozzáférési modellt.
Forrás: opennet.ru