Platforma HackerOne, ki varnostnim raziskovalcem omogoča, da obveščajo razvijalce o odkrivanju ranljivosti in za to prejmejo nagrade, je prejela o lastnem hekanju. Enemu od raziskovalcev je uspelo pridobiti dostop do računa varnostnega analitika pri HackerOne, ki ima možnost ogleda tajnih gradiv, vključno s podatki o ranljivostih, ki še niso bile odpravljene. Od ustanovitve platforme je HackerOne raziskovalcem plačal skupno 23 milijonov dolarjev za odkrivanje ranljivosti v izdelkih več kot 100 strank, vključno s Twitterjem, Facebookom, Googlom, Appleom, Microsoftom, Slackom, Pentagonom in ameriško mornarico.
Omeniti velja, da je prevzem računa mogoč zaradi človeške napake. Eden od raziskovalcev je oddal vlogo za pregled o morebitni ranljivosti v HackerOne. Med analizo aplikacije je analitik HackerOne poskušal ponoviti predlagano metodo vdora, vendar težave ni bilo mogoče reproducirati, avtorju aplikacije pa je bil poslan odgovor z zahtevo po dodatnih podrobnostih. Hkrati analitik ni opazil, da je skupaj z rezultati neuspešnega preverjanja nenamerno poslal vsebino svojega sejnega piškotka. Zlasti med dialogom je analitik navedel primer zahteve HTTP, ki jo je naredil pripomoček curl, vključno z glavami HTTP, iz katerih je pozabil počistiti vsebino piškotka seje.
Raziskovalec je opazil to napako in lahko pridobil dostop do privilegiranega računa na hackerone.com tako, da je preprosto vstavil opaženo vrednost piškotka, ne da bi moral iti skozi večfaktorsko avtentikacijo, ki se uporablja v storitvi. Napad je bil mogoč, ker hackerone.com ni povezal seje z uporabnikovim IP-jem ali brskalnikom. ID problematične seje je bil izbrisan dve uri po objavi poročila o uhajanju. Odločeno je bilo, da se raziskovalcu plača 20 tisoč dolarjev za obveščanje o problemu.
HackerOne je sprožil revizijo, da bi analiziral morebiten pojav podobnih uhajanj piškotkov v preteklosti in ocenil morebitno uhajanje lastniških informacij o težavah uporabnikov storitev. Revizija ni razkrila dokazov o uhajanju v preteklosti in ugotovila, da je raziskovalec, ki je pokazal težavo, lahko pridobil informacije o približno 5% vseh programov, predstavljenih v storitvi, ki so bili dostopni analitiku, katerega sejni ključ je bil uporabljen.
Za zaščito pred podobnimi napadi v prihodnosti smo uvedli vezavo sejnega ključa na naslov IP ter filtriranje sejnih ključev in avtentikacijskih žetonov v komentarjih. V prihodnosti nameravajo vezavo na IP nadomestiti z vezavo na uporabniške naprave, saj je vezava na IP neprijetna za uporabnike z dinamično izdanimi naslovi. Odločili smo se tudi za razširitev sistema dnevnikov s podatki o dostopu uporabnikov do podatkov in implementacijo modela granularnega dostopa analitikov do podatkov o strankah.
Vir: opennet.ru