セキュリティ研究者が脆弱性の特定について開発者に通知し、それに対する報酬を受け取ることができる HackerOne プラットフォームが、 自分自身のハッキングについて。 研究者の 23 人は、HackerOne のセキュリティ アナリストのアカウントにアクセスすることに成功しました。このアナリストは、まだ修正されていない脆弱性に関する情報を含む機密資料を閲覧することができます。 このプラットフォームの開始以来、HackerOne は Twitter、Facebook、Google、Apple、Microsoft、Slack、国防総省、米国海軍を含む 100 社以上のクライアントの製品の脆弱性を特定するために研究者に総額 XNUMX 万ドルを支払ってきました。
注目すべきは、人的ミスによってアカウント乗っ取りが可能になったことだ。 研究者の XNUMX 人が、HackerOne の潜在的な脆弱性に関する審査申請を提出しました。 アプリケーションの分析中、HackerOne アナリストは提案されたハッキング手法を再現しようとしましたが、問題を再現できず、追加の詳細を求める応答がアプリケーションの作成者に送信されました。 同時に、アナリストは、失敗したチェックの結果とともに、セッション Cookie の内容を誤って送信したことに気づきませんでした。 特に、対話中に、アナリストは、HTTP ヘッダーを含む、curl ユーティリティによって作成された HTTP リクエストの例を示しました。セッション Cookie の内容をクリアするのを忘れていました。
研究者はこの見落としに気づき、サービスで使用されている多要素認証を経由せずに、注目した Cookie 値を挿入するだけで、hackerone.com の特権アカウントにアクセスすることができました。 hackerone.com がセッションをユーザーの IP またはブラウザにバインドしていなかったため、攻撃が可能でした。 問題のセッションIDは、リークレポートの公開から20時間後に削除された。 この問題を知らせた研究者にはXNUMX万ドルを支払うことが決定された。
HackerOne は、過去に同様の Cookie 漏洩が発生した可能性を分析し、サービス顧客の問題に関する機密情報の漏洩の可能性を評価するために監査を開始しました。 監査では過去の漏洩の証拠は明らかにされなかったが、問題を実証した研究者は、セッションキーが使用されたアナリストがアクセスできる、サービス内で提示された全プログラムの約5%に関する情報を入手できたと判断した。
今後の同様の攻撃から保護するために、セッション キーの IP アドレスへのバインドと、コメント内のセッション キーと認証トークンのフィルタリングを実装しました。 IP へのバインドは動的に発行されたアドレスを持つユーザーにとって不便であるため、将来的には IP へのバインドをユーザー デバイスへのバインドに置き換える予定です。 また、データへのユーザー アクセスに関する情報を含むログ システムを拡張し、アナリストが顧客データにきめ細かくアクセスできるモデルを実装することも決定されました。
出所: オープンネット.ru