Platforma HackerOne, e cila lejon studiuesit e sigurisë të informojnë zhvilluesit për identifikimin e dobësive dhe të marrin shpërblime për këtë, mori në lidhje me hakimin tuaj. Një nga studiuesit arriti të fitojë akses në llogarinë e një analisti sigurie në HackerOne, i cili ka aftësinë të shikojë materiale të klasifikuara, duke përfshirë informacione rreth dobësive që ende nuk janë rregulluar. Që nga fillimi i platformës, HackerOne u ka paguar studiuesve një total prej 23 milionë dollarësh për të identifikuar dobësitë në produkte nga më shumë se 100 klientë, duke përfshirë Twitter, Facebook, Google, Apple, Microsoft, Slack, Pentagon dhe Marinën e SHBA.
Vlen të përmendet se marrja e llogarisë u bë e mundur për shkak të gabimit njerëzor. Një nga studiuesit paraqiti një aplikim për rishikim në lidhje me një cenueshmëri të mundshme në HackerOne. Gjatë analizës së aplikacionit, një analist i HackerOne u përpoq të përsëriste metodën e propozuar të hakerimit, por problemi nuk mund të riprodhohej dhe një përgjigje iu dërgua autorit të aplikacionit duke kërkuar detaje shtesë. Në të njëjtën kohë, analisti nuk vuri re që, së bashku me rezultatet e një kontrolli të pasuksesshëm, ai dërgoi pa dashje përmbajtjen e sesionit të tij Cookie. Në veçanti, gjatë dialogut, analisti dha një shembull të një kërkese HTTP të bërë nga programi curl, duke përfshirë titujt HTTP, nga të cilat ai harroi të fshinte përmbajtjen e Cookie të sesionit.
Studiuesi e vuri re këtë mbikëqyrje dhe ishte në gjendje të fitonte akses në një llogari të privilegjuar në hackerone.com thjesht duke futur vlerën e vërejtur të Cookie pa pasur nevojë të kalonte vërtetimin me shumë faktorë të përdorur në shërbim. Sulmi ishte i mundur sepse hackerone.com nuk e lidhi seancën me IP-në ose shfletuesin e përdoruesit. ID-ja problematike e sesionit u fshi dy orë pas publikimit të raportit të rrjedhjes. U vendos që studiuesit t'i paguante 20 mijë dollarë për informimin e problemit.
HackerOne filloi një auditim për të analizuar shfaqjen e mundshme të rrjedhjeve të ngjashme të Cookie në të kaluarën dhe për të vlerësuar rrjedhjet e mundshme të informacionit të pronarit në lidhje me problemet e klientëve të shërbimit. Auditimi nuk zbuloi prova të rrjedhjeve në të kaluarën dhe përcaktoi se studiuesi që demonstroi problemin mund të merrte informacion rreth 5% të të gjitha programeve të paraqitura në shërbim që ishin të aksesueshme për analistin, çelësi i sesionit të të cilit ishte përdorur.
Për të mbrojtur kundër sulmeve të ngjashme në të ardhmen, ne kemi zbatuar lidhjen e çelësit të sesionit me adresën IP dhe filtrimin e çelësave të sesionit dhe shenjave të vërtetimit në komente. Në të ardhmen, ata planifikojnë të zëvendësojnë lidhjen me IP me lidhjen me pajisjet e përdoruesit, pasi lidhja me IP është e papërshtatshme për përdoruesit me adresa të lëshuara në mënyrë dinamike. Gjithashtu u vendos që të zgjerohet sistemi i regjistrave me informacion në lidhje me aksesin e përdoruesve në të dhëna dhe të zbatohet një model i aksesit granular për analistët në të dhënat e klientëve.
Burimi: opennet.ru