Ha ricevuto la piattaforma HackerOne, che consente ai ricercatori di sicurezza di informare gli sviluppatori sull'identificazione delle vulnerabilità e ricevere premi per questo sul tuo hacking. Uno dei ricercatori è riuscito ad accedere all'account di un analista della sicurezza di HackerOne, che ha la possibilità di visualizzare materiali riservati, comprese informazioni sulle vulnerabilità che non sono ancora state risolte. Dall'inizio della piattaforma, HackerOne ha pagato ai ricercatori un totale di 23 milioni di dollari per identificare le vulnerabilità nei prodotti di più di 100 clienti, tra cui Twitter, Facebook, Google, Apple, Microsoft, Slack, il Pentagono e la Marina degli Stati Uniti.
È interessante notare che l'acquisizione dell'account è diventata possibile a causa di un errore umano. Uno dei ricercatori ha presentato una richiesta di revisione su una potenziale vulnerabilità in HackerOne. Durante l'analisi dell'applicazione, un analista di HackerOne ha provato a ripetere il metodo di hacking proposto, ma il problema non è stato riprodotto ed è stata inviata una risposta all'autore dell'applicazione richiedendo ulteriori dettagli. Allo stesso tempo, l'analista non si è accorto che, insieme ai risultati di un controllo fallito, ha inavvertitamente inviato il contenuto del suo cookie di sessione. In particolare, durante il dialogo, l'analista ha fornito l'esempio di una richiesta HTTP effettuata dall'utility curl, comprensiva di intestazioni HTTP, dalla quale si era dimenticato di cancellare il contenuto del cookie di sessione.
Il ricercatore si è accorto di questa svista ed è riuscito ad accedere a un account privilegiato su hackerone.com semplicemente inserendo il valore del Cookie notato senza dover passare attraverso l'autenticazione a più fattori utilizzata nel servizio. L'attacco è stato possibile perché hackerone.com non ha vincolato la sessione all'IP o al browser dell'utente. L'ID della sessione problematica è stato eliminato due ore dopo la pubblicazione del rapporto sulla perdita. Si è deciso di pagare al ricercatore 20mila dollari per aver informato del problema.
HackerOne ha avviato un audit per analizzare il possibile verificarsi di simili fughe di cookie in passato e per valutare potenziali fughe di informazioni proprietarie sui problemi dei clienti del servizio. L'audit non ha rivelato prove di fughe di notizie in passato e ha stabilito che il ricercatore che ha dimostrato il problema poteva ottenere informazioni su circa il 5% di tutti i programmi presentati nel servizio che erano accessibili all'analista la cui chiave di sessione era stata utilizzata.
Per proteggerci da attacchi simili in futuro, abbiamo implementato l'associazione della chiave di sessione all'indirizzo IP e il filtraggio delle chiavi di sessione e dei token di autenticazione nei commenti. In futuro, si prevede di sostituire l'associazione all'IP con l'associazione ai dispositivi dell'utente, poiché l'associazione all'IP è scomoda per gli utenti con indirizzi emessi dinamicamente. Si è inoltre deciso di ampliare il sistema di log con informazioni sull'accesso degli utenti ai dati e di implementare un modello di accesso granulare per gli analisti ai dati dei clienti.
Fonte: opennet.ru