Platform HackerOne, yang memungkinkan peneliti keamanan memberi tahu pengembang tentang mengidentifikasi kerentanan dan menerima imbalan untuk hal ini, diterima tentang peretasan Anda sendiri. Salah satu peneliti berhasil mendapatkan akses ke akun analis keamanan di HackerOne, yang memiliki kemampuan untuk melihat materi rahasia, termasuk informasi tentang kerentanan yang belum diperbaiki. Sejak awal platform ini, HackerOne telah membayar peneliti sejumlah $23 juta untuk mengidentifikasi kerentanan dalam produk dari lebih dari 100 klien, termasuk Twitter, Facebook, Google, Apple, Microsoft, Slack, Pentagon, dan Angkatan Laut AS.
Patut dicatat bahwa pengambilalihan akun dimungkinkan karena kesalahan manusia. Salah satu peneliti mengajukan permohonan peninjauan tentang potensi kerentanan di HackerOne. Selama analisis aplikasi, seorang analis HackerOne mencoba mengulangi metode peretasan yang diusulkan, namun masalahnya tidak dapat direproduksi, dan tanggapan dikirim ke penulis aplikasi yang meminta rincian tambahan. Pada saat yang sama, analis tidak menyadari bahwa, bersamaan dengan hasil pemeriksaan yang gagal, dia secara tidak sengaja mengirimkan konten Cookie sesinya. Secara khusus, selama dialog, analis memberikan contoh permintaan HTTP yang dibuat oleh utilitas curl, termasuk header HTTP, yang menyebabkan dia lupa menghapus konten sesi Cookie.
Peneliti memperhatikan kelalaian ini dan dapat memperoleh akses ke akun istimewa di hackerone.com hanya dengan memasukkan nilai Cookie yang diperhatikan tanpa harus melalui otentikasi multi-faktor yang digunakan dalam layanan. Serangan itu mungkin terjadi karena hackerone.com tidak mengikat sesi tersebut ke IP atau browser pengguna. ID sesi yang bermasalah telah dihapus dua jam setelah laporan kebocoran dipublikasikan. Diputuskan untuk membayar peneliti 20 ribu dolar untuk menginformasikan masalah tersebut.
HackerOne memulai audit untuk menganalisis kemungkinan terjadinya kebocoran Cookie serupa di masa lalu dan untuk menilai potensi kebocoran informasi hak milik tentang masalah pelanggan layanan. Audit tersebut tidak mengungkapkan bukti kebocoran di masa lalu dan menetapkan bahwa peneliti yang mendemonstrasikan masalah tersebut dapat memperoleh informasi tentang sekitar 5% dari semua program yang disajikan dalam layanan yang dapat diakses oleh analis yang kunci sesinya digunakan.
Untuk melindungi terhadap serangan serupa di masa depan, kami menerapkan pengikatan kunci sesi ke alamat IP dan memfilter kunci sesi dan token otentikasi dalam komentar. Di masa depan, mereka berencana untuk mengganti pengikatan ke IP dengan pengikatan ke perangkat pengguna, karena pengikatan ke IP tidak nyaman bagi pengguna dengan alamat yang dikeluarkan secara dinamis. Diputuskan juga untuk memperluas sistem log dengan informasi tentang akses pengguna ke data dan menerapkan model akses granular bagi analis ke data pelanggan.
Sumber: opennet.ru