Platforma HackerOne, care permite cercetătorilor de securitate să informeze dezvoltatorii despre identificarea vulnerabilităților și să primească recompense pentru aceasta, a primit despre propriul tău hacking. Unul dintre cercetători a reușit să obțină acces la contul unui analist de securitate de la HackerOne, care are capacitatea de a vizualiza materiale clasificate, inclusiv informații despre vulnerabilități care nu au fost încă remediate. De la înființarea platformei, HackerOne a plătit cercetătorilor un total de 23 de milioane de dolari pentru a identifica vulnerabilitățile produselor de la peste 100 de clienți, inclusiv Twitter, Facebook, Google, Apple, Microsoft, Slack, Pentagonul și Marina SUA.
Este de remarcat faptul că preluarea contului a devenit posibilă din cauza unei erori umane. Unul dintre cercetători a trimis o cerere de revizuire cu privire la o potențială vulnerabilitate în HackerOne. În timpul analizei aplicației, un analist HackerOne a încercat să repete metoda de hacking propusă, dar problema nu a putut fi reprodusă, iar autorului aplicației i s-a trimis un răspuns solicitând detalii suplimentare. În același timp, analistul nu a observat că, alături de rezultatele unei verificări nereușite, a trimis din neatenție conținutul sesiunii sale Cookie. În special, în timpul dialogului, analistul a dat un exemplu de solicitare HTTP făcută de utilitarul curl, inclusiv anteturi HTTP, din care a uitat să ștergă conținutul sesiunii Cookie.
Cercetătorul a observat această neglijență și a reușit să obțină acces la un cont privilegiat de pe hackerone.com prin simpla inserare a valorii cookie observate, fără a fi nevoie să treacă prin autentificarea multifactorială utilizată în serviciu. Atacul a fost posibil deoarece hackerone.com nu a legat sesiunea de IP-ul sau browserul utilizatorului. ID-ul sesiunii problematice a fost șters la două ore după publicarea raportului de scurgere. Sa decis să plătească cercetătorului 20 de mii de dolari pentru informarea despre problemă.
HackerOne a inițiat un audit pentru a analiza posibila apariție a unor scurgeri similare de cookie-uri în trecut și pentru a evalua potențialele scurgeri de informații proprietare despre problemele clienților serviciilor. Auditul nu a dezvăluit dovezi de scurgeri în trecut și a stabilit că cercetătorul care a demonstrat problema ar putea obține informații despre aproximativ 5% din toate programele prezentate în serviciu care erau accesibile analistului a cărui cheie de sesiune a fost utilizată.
Pentru a ne proteja împotriva atacurilor similare în viitor, am implementat legarea cheii de sesiune la adresa IP și filtrarea cheilor de sesiune și a simbolurilor de autentificare în comentarii. În viitor, intenționează să înlocuiască legarea la IP cu legarea la dispozitivele utilizatorului, deoarece legarea la IP este incomod pentru utilizatorii cu adrese emise dinamic. De asemenea, sa decis extinderea sistemului de jurnal cu informații despre accesul utilizatorilor la date și implementarea unui model de acces granular pentru analiști la datele clienților.
Sursa: opennet.ru