HackerOne vettvangurinn, sem gerir öryggisrannsakendum kleift að upplýsa þróunaraðila um að bera kennsl á veikleika og fá verðlaun fyrir þetta, fékk um eigin reiðhestur. Einn rannsakendanna náði að komast að reikningi öryggissérfræðings hjá HackerOne, sem hefur getu til að skoða flokkað efni, þar á meðal upplýsingar um veikleika sem ekki hefur enn verið lagað. Frá upphafi vettvangsins hefur HackerOne greitt rannsakendum samtals 23 milljónir dollara fyrir að bera kennsl á veikleika í vörum frá meira en 100 viðskiptavinum, þar á meðal Twitter, Facebook, Google, Apple, Microsoft, Slack, Pentagon og bandaríska sjóhernum.
Athygli vekur að reikningsyfirtakan varð möguleg vegna mannlegra mistaka. Einn rannsakendanna lagði fram umsókn um endurskoðun um hugsanlegan varnarleysi í HackerOne. Við greiningu á forritinu reyndi HackerOne sérfræðingur að endurtaka fyrirhugaða innbrotsaðferð, en ekki tókst að endurskapa vandamálið og var svar sent til höfundar umsóknarinnar þar sem óskað var eftir frekari upplýsingum. Á sama tíma tók sérfræðingur ekki eftir því að ásamt niðurstöðum misheppnaðrar athugunar sendi hann óvart innihald setu sinnar Cookie. Sérstaklega, meðan á samræðum stóð, gaf sérfræðingur dæmi um HTTP beiðni sem krulluforritið gerði, þar á meðal HTTP hausa, þar sem hann gleymdi að hreinsa innihald setu Cookie.
Rannsakandinn tók eftir þessari yfirsjón og gat fengið aðgang að forréttindareikningi á hackerone.com með því einfaldlega að setja inn vafrakökugildið án þess að þurfa að fara í gegnum fjölþátta auðkenninguna sem notuð er í þjónustunni. Árásin var möguleg vegna þess að hackerone.com tengdi ekki lotuna við IP eða vafra notandans. Vandræðalotuauðkenninu var eytt tveimur klukkustundum eftir að lekaskýrslan var birt. Ákveðið var að greiða rannsakandanum 20 þúsund dollara fyrir að upplýsa um vandamálið.
HackerOne hóf úttekt til að greina hugsanlegt tilvik svipaðs vafrakökuleka í fortíðinni og til að meta hugsanlegan leka á sérupplýsingum um vandamál þjónustuviðskiptavina. Endurskoðunin leiddi ekki í ljós vísbendingar um leka í fortíðinni og komst að þeirri niðurstöðu að rannsakandinn sem sýndi fram á vandamálið gæti fengið upplýsingar um um það bil 5% allra forrita sem kynntar voru í þjónustunni sem voru aðgengilegar greinandanum sem notaður var lotulykill.
Til að verjast svipuðum árásum í framtíðinni hefur verið innleitt að binda lotulykil við IP tölu og síun á lotulyklum og auðkenningartáknum í athugasemdum. Í framtíðinni ætla þeir að skipta út bindingu við IP fyrir tengingu við notendatæki, þar sem binding við IP er óþægilegt fyrir notendur með breytilega útgefin heimilisföng. Einnig var ákveðið að stækka annálakerfið með upplýsingum um aðgang notenda að gögnum og innleiða líkan um kornaðgengi greiningaraðila að gögnum viðskiptavina.
Heimild: opennet.ru