A plataforma HackerOne, que permite aos pesquisadores de segurança informar os desenvolvedores sobre a identificação de vulnerabilidades e receber recompensas por isso, recebeu sobre seu próprio hacking. Um dos pesquisadores conseguiu acessar a conta de um analista de segurança da HackerOne, que tem a possibilidade de visualizar materiais sigilosos, incluindo informações sobre vulnerabilidades que ainda não foram corrigidas. Desde o início da plataforma, a HackerOne pagou a pesquisadores um total de US$ 23 milhões para identificar vulnerabilidades em produtos de mais de 100 clientes, incluindo Twitter, Facebook, Google, Apple, Microsoft, Slack, Pentágono e Marinha dos EUA.
Vale ressaltar que o controle da conta foi possível devido a erro humano. Um dos pesquisadores enviou um pedido de revisão sobre uma vulnerabilidade potencial no HackerOne. Durante a análise do aplicativo, um analista da HackerOne tentou repetir o método de hacking proposto, mas o problema não pôde ser reproduzido e uma resposta foi enviada ao autor do aplicativo solicitando detalhes adicionais. Ao mesmo tempo, o analista não percebeu que, junto com o resultado de uma verificação malsucedida, enviou inadvertidamente o conteúdo de seu Cookie de sessão. Em particular, durante o diálogo, o analista deu um exemplo de solicitação HTTP feita pelo utilitário curl, incluindo cabeçalhos HTTP, dos quais se esqueceu de limpar o conteúdo do cookie de sessão.
O pesquisador percebeu esse descuido e conseguiu obter acesso a uma conta privilegiada no hackerone.com simplesmente inserindo o valor do Cookie notado sem precisar passar pela autenticação multifator utilizada no serviço. O ataque foi possível porque o hackerone.com não vinculou a sessão ao IP ou navegador do usuário. O ID da sessão problemática foi excluído duas horas após a publicação do relatório de vazamento. Decidiu-se pagar ao pesquisador 20 mil dólares por informar sobre o problema.
A HackerOne iniciou uma auditoria para analisar a possível ocorrência de vazamentos de cookies semelhantes no passado e para avaliar possíveis vazamentos de informações proprietárias sobre os problemas dos clientes do serviço. A auditoria não revelou evidências de vazamentos no passado e determinou que o pesquisador que demonstrou o problema poderia obter informações sobre aproximadamente 5% de todos os programas apresentados no serviço que estavam acessíveis ao analista cuja chave de sessão foi utilizada.
Para proteger contra ataques semelhantes no futuro, implementamos a vinculação da chave de sessão ao endereço IP e a filtragem de chaves de sessão e tokens de autenticação nos comentários. No futuro, eles planejam substituir a ligação ao IP pela ligação aos dispositivos do usuário, uma vez que a ligação ao IP é inconveniente para usuários com endereços emitidos dinamicamente. Também foi decidido ampliar o sistema de log com informações sobre o acesso dos usuários aos dados e implementar um modelo de acesso granular dos analistas aos dados dos clientes.
Fonte: opennet.ru