Het HackerOne-platform, waarmee beveiligingsonderzoekers ontwikkelaars kunnen informeren over het identificeren van kwetsbaarheden en hiervoor beloningen ontvangen, ontving over je eigen hacken. Eén van de onderzoekers slaagde erin toegang te krijgen tot het account van een beveiligingsanalist bij HackerOne, die de mogelijkheid heeft om geclassificeerd materiaal te bekijken, inclusief informatie over kwetsbaarheden die nog niet zijn opgelost. Sinds de oprichting van het platform heeft HackerOne onderzoekers in totaal 23 miljoen dollar betaald om kwetsbaarheden te identificeren in producten van meer dan 100 klanten, waaronder Twitter, Facebook, Google, Apple, Microsoft, Slack, het Pentagon en de Amerikaanse marine.
Opmerkelijk is dat de accountovername mogelijk werd door een menselijke fout. Eén van de onderzoekers heeft een aanvraag ingediend voor beoordeling over een mogelijke kwetsbaarheid in HackerOne. Tijdens de analyse van de applicatie probeerde een HackerOne-analist de voorgestelde hackmethode te herhalen, maar het probleem kon niet worden gereproduceerd en er werd een antwoord gestuurd naar de auteur van de applicatie met het verzoek om aanvullende details. Tegelijkertijd merkte de analist niet dat hij, samen met de resultaten van een mislukte controle, per ongeluk de inhoud van zijn sessie Cookie stuurde. In het bijzonder gaf de analist tijdens de dialoog een voorbeeld van een HTTP-verzoek van het curl-hulpprogramma, inclusief HTTP-headers, waaruit hij vergat de inhoud van de sessiecookie te wissen.
De onderzoeker merkte dit toezicht op en kon toegang krijgen tot een bevoorrecht account op hackerone.com door simpelweg de opgemerkte Cookie-waarde in te voeren zonder de multi-factor authenticatie te hoeven doorlopen die in de service wordt gebruikt. De aanval was mogelijk omdat hackerone.com de sessie niet aan het IP-adres of de browser van de gebruiker koppelde. De problematische sessie-ID werd twee uur na de publicatie van het lekrapport verwijderd. Er werd besloten de onderzoeker 20 dollar te betalen voor het informeren over het probleem.
HackerOne heeft een audit geïnitieerd om het mogelijke optreden van soortgelijke cookie-lekken in het verleden te analyseren en om potentiële lekken van bedrijfseigen informatie over de problemen van serviceklanten te beoordelen. De audit bracht geen bewijs van lekken in het verleden aan het licht en stelde vast dat de onderzoeker die het probleem had aangetoond informatie kon verkrijgen over ongeveer 5% van alle programma's die in de dienst werden gepresenteerd en die toegankelijk waren voor de analist wiens sessiesleutel werd gebruikt.
Om ons in de toekomst tegen soortgelijke aanvallen te beschermen, hebben we het koppelen van de sessiesleutel aan het IP-adres en het filteren van sessiesleutels en authenticatietokens in opmerkingen geïmplementeerd. In de toekomst zijn ze van plan de binding aan IP te vervangen door binding aan gebruikersapparaten, omdat binding aan IP lastig is voor gebruikers met dynamisch uitgegeven adressen. Er werd ook besloten om het logsysteem uit te breiden met informatie over gebruikerstoegang tot gegevens en een model te implementeren voor gedetailleerde toegang voor analisten tot klantgegevens.
Bron: opennet.ru