HackerOne, vettvangur sem gerir öryggisrannsakendum kleift að upplýsa forritara um uppgötvun veikleika og fá verðlaun fyrir það, hefur fengið... um eigin tölvuárás. Einum rannsakandanna tókst að fá aðgang að aðgangi öryggisgreinanda hjá HackerOne, sem gerði honum kleift að skoða flokkað efni, þar á meðal upplýsingar um óuppfærða veikleika. Frá stofnun kerfisins hafa rannsakendur fengið greiddar samtals 23 milljónir dala í gegnum HackerOne fyrir að bera kennsl á veikleika í vörum frá yfir 100 viðskiptavinum, þar á meðal Twitter, Facebook, Google, Apple, Microsoft, Slack, Pentagon og bandaríska sjóhernum.
Það er vert að taka fram að yfirtaka reikningsins varð vegna mannlegra mistaka. Einn rannsakandanna sendi skýrslu um hugsanlegan varnarleysi til HackerOne til skoðunar. Sérfræðingur hjá HackerOne reyndi að endurtaka fyrirhugaða tölvuárásaraðferð meðan á skoðunarferlinu stóð, en vandamálið var ekki endurtakanlegt, sem leiddi til þess að beiðandinn bað um frekari upplýsingar. Sérfræðingurinn tók þó ekki eftir því að hann hafði gleymt innihaldi lotukökunnar sinnar ásamt misheppnuðum niðurstöðum skönnunarinnar. Nánar tiltekið, í samtalinu, gaf sérfræðingurinn dæmi um HTTP beiðni sem keyrð var með curl gagnsemi, þar á meðal HTTP hausa þar sem hann hafði gleymt að hreinsa innihald lotukökunnar.
Rannsakandi tók eftir þessu mistökum og gat fengið aðgang að forréttindareikningi á hackerone.com með því einfaldlega að setja inn gildið sem sást á vafrakökunni, án þess að þörf væri á fjölþátta auðkenningu. Árásin var möguleg vegna þess að hackerone.com tengdi ekki loturnar við IP-tölu eða vafra notandans. Auðkenni lotunnar sem um ræðir var fjarlægt tveimur klukkustundum eftir að skýrslan um brotið var birt. Rannsakandinn fékk 20 dollara greiðslu fyrir að tilkynna málið.
HackerOne hóf úttekt til að greina möguleg fyrri tilfelli svipaðra leka á vafrakökum og til að meta hugsanlega leka á viðkvæmum upplýsingum um vandamál viðskiptavina. Úttektin fann enga fyrri leka og komst að þeirri niðurstöðu að rannsakandinn sem sýndi fram á vandamálið hefði getað fengið upplýsingar um um það bil 5% allra forrita sem voru tiltæk á þjónustunni sem greinandinn, sem notaður var til að nota lotulykilinn til, hafði aðgang að.
Til að verjast svipuðum árásum í framtíðinni er lotulykillinn bundinn við IP tölu og síun lotulykla og auðkenningartákna í athugasemdum. Í framtíðinni er áætlað að skipta út IP-bindingu fyrir bindingu við tæki notenda, þar sem IP-binding er óþægileg fyrir notendur með breytilega úthlutaða netföng. Einnig var ákveðið að stækka skráningarkerfið með upplýsingum um aðgang notenda að gögnum og innleiða nákvæmara aðgangslíkan fyrir greinendur að gögnum viðskiptavina.
Heimild: opennet.ru
