Platforma HackerOne, ktorá umožňuje bezpečnostným výskumníkom informovať vývojárov o identifikácii zraniteľností a získavať za to odmeny, získala o vlastnom hackovaní. Jednému z výskumníkov sa podarilo získať prístup k účtu bezpečnostného analytika v HackerOne, ktorý má možnosť prezerať si utajované materiály vrátane informácií o zraniteľnostiach, ktoré ešte neboli opravené. Od vzniku platformy zaplatil HackerOne výskumníkom celkovo 23 miliónov dolárov za identifikáciu zraniteľností v produktoch od viac ako 100 klientov vrátane Twitteru, Facebooku, Google, Apple, Microsoftu, Slacku, Pentagonu a amerického námorníctva.
Je pozoruhodné, že prevzatie účtu bolo možné v dôsledku ľudskej chyby. Jeden z výskumníkov predložil žiadosť o preskúmanie potenciálnej zraniteľnosti v HackerOne. Počas analýzy aplikácie sa analytik HackerOne pokúsil zopakovať navrhovanú metódu hackovania, ale problém sa nepodarilo zopakovať a autorovi aplikácie bola odoslaná odpoveď so žiadosťou o ďalšie podrobnosti. Analytik si zároveň nevšimol, že spolu s výsledkami neúspešnej kontroly poslal neúmyselne aj obsah svojej relácie Cookie. Konkrétne počas dialógu analytik uviedol príklad HTTP požiadavky uskutočnenej obslužným programom curl, vrátane HTTP hlavičiek, z ktorých zabudol vymazať obsah relácie Cookie.
Výskumník si toto prehliadnutie všimol a bol schopný získať prístup k privilegovanému účtu na hackerone.com jednoduchým vložením zaznamenanej hodnoty cookie bez toho, aby musel prejsť viacfaktorovou autentifikáciou používanou v službe. Útok bol možný, pretože hackerone.com nenaviazal reláciu na IP používateľa alebo prehliadač. Identifikátor problematickej relácie bol odstránený dve hodiny po zverejnení správy o úniku. Bolo rozhodnuté zaplatiť výskumníkovi 20-tisíc dolárov za informovanie o probléme.
HackerOne inicioval audit s cieľom analyzovať možný výskyt podobných únikov súborov cookie v minulosti a posúdiť potenciálne úniky chránených informácií o problémoch zákazníkov služieb. Audit neodhalil dôkazy o únikoch v minulosti a zistil, že výskumník, ktorý problém preukázal, mohol získať informácie o približne 5 % všetkých programov prezentovaných v službe, ktoré boli dostupné pre analytika, ktorého kľúč relácie bol použitý.
Na ochranu pred podobnými útokmi v budúcnosti sme implementovali väzbu kľúča relácie na IP adresu a filtrovanie kľúčov relácie a autentifikačných tokenov v komentároch. V budúcnosti plánujú nahradiť viazanie na IP väzbou na používateľské zariadenia, keďže viazanie na IP je pre používateľov s dynamicky prideľovanými adresami nepohodlné. Rozhodlo sa tiež rozšíriť logovací systém o informácie o prístupe používateľov k údajom a implementovať model granulárneho prístupu analytikov k údajom o zákazníkoch.
Zdroj: opennet.ru