ХацкерОне платформа, која омогућава истраживачима безбедности да обавештавају програмере о идентификовању рањивости и примају награде за то, добила је о сопственом хаковању. Један од истраживача успео је да приступи налогу безбедносног аналитичара у ХацкерОне-у, који има могућност да прегледа поверљиве материјале, укључујући информације о рањивостима које још нису исправљене. Од почетка платформе, ХацкерОне је платио истраживачима укупно 23 милиона долара да идентификују рањивости у производима више од 100 клијената, укључујући Твиттер, Фацебоок, Гоогле, Аппле, Мицрософт, Слацк, Пентагон и америчку морнарицу.
Важно је напоменути да је преузимање налога постало могуће због људске грешке. Један од истраживача је поднео пријаву за преглед потенцијалне рањивости у ХацкерОне-у. Током анализе апликације, аналитичар ХацкерОне-а покушао је да понови предложени метод хаковања, али проблем није могао да се репродукује, па је аутору апликације послат одговор са захтевом за додатним детаљима. Истовремено, аналитичар није приметио да је, уз резултате неуспешне провере, нехотице послао и садржај своје сесије Цоокие. Конкретно, током дијалога, аналитичар је дао пример ХТТП захтева који је упутио услужни програм цурл, укључујући ХТТП заглавља, из којих је заборавио да обрише садржај колачића сесије.
Истраживач је приметио овај превид и успео је да добије приступ привилегованом налогу на хацкероне.цом једноставним убацивањем наведене вредности колачића без потребе да пролази кроз вишефакторску аутентификацију која се користи у услузи. Напад је био могућ јер хацкероне.цом није везао сесију за ИП или претраживач корисника. Проблематичан ИД сесије је обрисан два сата након што је објављен извештај о цурењу. Одлучено је да се истраживачу плати 20 хиљада долара за информисање о проблему.
ХацкерОне је покренуо ревизију како би анализирао могућу појаву сличних цурења колачића у прошлости и проценио потенцијално цурење власничких информација о проблемима корисника услуга. Ревизија није открила доказе о цурењу података у прошлости и утврдила је да је истраживач који је показао проблем могао добити информације о приближно 5% свих програма представљених у сервису који су били доступни аналитичару чији је кључ сесије коришћен.
Да бисмо се заштитили од сличних напада у будућности, имплементирали смо везивање кључа сесије за ИП адресу и филтрирање кључева сесије и токена за аутентификацију у коментарима. У будућности планирају да замене везивање за ИП повезивањем за корисничке уређаје, пошто је везивање за ИП незгодно за кориснике са динамички издатим адресама. Такође је одлучено да се лог систем прошири информацијама о приступу корисника подацима и имплементира модел грануларног приступа за аналитичаре подацима корисника.
Извор: опеннет.ру