HackerOne-plattformen, som lar sikkerhetsforskere informere utviklere om å identifisere sårbarheter og motta belønninger for dette, fikk om din egen hacking. En av forskerne klarte å få tilgang til kontoen til en sikkerhetsanalytiker hos HackerOne, som har muligheten til å se klassifisert materiale, inkludert informasjon om sårbarheter som ennå ikke er fikset. Siden plattformens oppstart har HackerOne betalt forskere totalt 23 millioner dollar for å identifisere sårbarheter i produkter fra mer enn 100 kunder, inkludert Twitter, Facebook, Google, Apple, Microsoft, Slack, Pentagon og den amerikanske marinen.
Det er bemerkelsesverdig at kontoovertakelsen ble mulig på grunn av menneskelig feil. En av forskerne sendte inn en søknad om vurdering om en potensiell sårbarhet i HackerOne. Under analysen av applikasjonen prøvde en HackerOne-analytiker å gjenta den foreslåtte hackingmetoden, men problemet kunne ikke reproduseres, og et svar ble sendt til forfatteren av applikasjonen som ba om ytterligere detaljer. Samtidig la analytikeren ikke merke til at han, sammen med resultatene av en mislykket sjekk, utilsiktet sendte innholdet i økten sin Cookie. Spesielt, under dialogen, ga analytikeren et eksempel på en HTTP-forespørsel laget av curl-verktøyet, inkludert HTTP-headers, som han glemte å fjerne innholdet i øktens informasjonskapsel.
Forskeren la merke til denne forglemmelsen og var i stand til å få tilgang til en privilegert konto på hackerone.com ved ganske enkelt å sette inn den merkede informasjonskapselverdien uten å måtte gå gjennom multifaktorautentiseringen som brukes i tjenesten. Angrepet var mulig fordi hackerone.com ikke bindet økten til brukerens IP eller nettleser. Den problematiske økt-IDen ble slettet to timer etter at lekkasjerapporten ble publisert. Det ble besluttet å betale forskeren 20 tusen dollar for å informere om problemet.
HackerOne satte i gang en revisjon for å analysere mulig forekomst av lignende Cookie-lekkasjer i fortiden og for å vurdere potensielle lekkasjer av proprietær informasjon om problemene til tjenestekunder. Tilsynet avslørte ikke bevis for lekkasjer i fortiden og fastslo at forskeren som påviste problemet kunne få informasjon om omtrent 5 % av alle programmene presentert i tjenesten som var tilgjengelige for analytikeren hvis sesjonsnøkkel ble brukt.
For å beskytte mot lignende angrep i fremtiden, implementerte vi binding av øktnøkkelen til IP-adressen og filtrering av sesjonsnøkler og autentiseringstokener i kommentarer. I fremtiden planlegger de å erstatte binding til IP med binding til brukerenheter, siden binding til IP er upraktisk for brukere med dynamisk utstedte adresser. Det ble også besluttet å utvide loggsystemet med informasjon om brukertilgang til data og implementere en modell for granulær tilgang for analytikere til kundedata.
Kilde: opennet.ru