Platform HackerOne, yang membolehkan penyelidik keselamatan memaklumkan kepada pembangun tentang mengenal pasti kelemahan dan menerima ganjaran untuk ini, diterima tentang penggodaman anda sendiri. Salah seorang penyelidik berjaya mendapatkan akses kepada akaun penganalisis keselamatan di HackerOne, yang mempunyai keupayaan untuk melihat bahan terperingkat, termasuk maklumat tentang kelemahan yang masih belum diperbaiki. Sejak penubuhan platform, HackerOne telah membayar penyelidik sejumlah $23 juta untuk mengenal pasti kelemahan dalam produk daripada lebih 100 pelanggan, termasuk Twitter, Facebook, Google, Apple, Microsoft, Slack, Pentagon dan Tentera Laut AS.
Perlu diperhatikan bahawa pengambilalihan akaun menjadi mungkin disebabkan oleh kesilapan manusia. Salah seorang penyelidik mengemukakan permohonan untuk semakan tentang potensi kelemahan dalam HackerOne. Semasa analisis aplikasi, seorang penganalisis HackerOne cuba mengulangi kaedah penggodaman yang dicadangkan, tetapi masalah itu tidak dapat diterbitkan semula, dan respons telah dihantar kepada pengarang aplikasi meminta butiran tambahan. Pada masa yang sama, penganalisis tidak menyedari bahawa, bersama-sama dengan keputusan semakan yang tidak berjaya, dia secara tidak sengaja menghantar kandungan Kuki sesinya. Khususnya, semasa dialog, penganalisis memberikan contoh permintaan HTTP yang dibuat oleh utiliti curl, termasuk pengepala HTTP, yang mana dia terlupa untuk mengosongkan kandungan Kuki sesi.
Penyelidik menyedari pengawasan ini dan dapat memperoleh akses kepada akaun istimewa di hackerone.com dengan hanya memasukkan nilai Kuki yang diperhatikan tanpa perlu melalui pengesahan berbilang faktor yang digunakan dalam perkhidmatan. Serangan itu mungkin berlaku kerana hackerone.com tidak mengikat sesi kepada IP atau penyemak imbas pengguna. ID sesi bermasalah telah dipadamkan dua jam selepas laporan kebocoran diterbitkan. Ia telah memutuskan untuk membayar penyelidik 20 ribu dolar untuk memaklumkan tentang masalah itu.
HackerOne memulakan audit untuk menganalisis kemungkinan berlakunya kebocoran Kuki yang serupa pada masa lalu dan untuk menilai potensi kebocoran maklumat proprietari tentang masalah pelanggan perkhidmatan. Audit tidak mendedahkan bukti kebocoran pada masa lalu dan menentukan bahawa penyelidik yang menunjukkan masalah itu boleh mendapatkan maklumat tentang kira-kira 5% daripada semua program yang dibentangkan dalam perkhidmatan yang boleh diakses oleh penganalisis yang kunci sesinya digunakan.
Untuk melindungi daripada serangan serupa pada masa hadapan, kunci sesi terikat kepada alamat IP dan penapisan kunci sesi dan token pengesahan dalam komen. Pada masa hadapan, pengikatan IP dirancang untuk digantikan dengan pengikatan pada peranti pengguna, kerana pengikatan IP menyusahkan pengguna dengan alamat yang diberikan secara dinamik. Ia juga telah diputuskan untuk mengembangkan sistem pengelogan dengan maklumat tentang akses pengguna kepada data dan melaksanakan model akses terperinci untuk penganalisis kepada data klien.
Sumber: opennet.ru
