HackerOne-plattformen, som gör det möjligt för säkerhetsforskare att informera utvecklare om att identifiera sårbarheter och få belöningar för detta, fick om ditt eget hackande. En av forskarna lyckades få tillgång till kontot för en säkerhetsanalytiker på HackerOne, som har möjlighet att se sekretessbelagt material, inklusive information om sårbarheter som ännu inte har åtgärdats. Sedan plattformens start har HackerOne betalat forskare totalt 23 miljoner dollar för att identifiera sårbarheter i produkter från mer än 100 kunder, inklusive Twitter, Facebook, Google, Apple, Microsoft, Slack, Pentagon och den amerikanska flottan.
Det är anmärkningsvärt att kontoövertagandet blev möjligt på grund av mänskliga misstag. En av forskarna lämnade in en ansökan om granskning om en potentiell sårbarhet i HackerOne. Under analysen av applikationen försökte en HackerOne-analytiker upprepa den föreslagna hackningsmetoden, men problemet kunde inte reproduceras, och ett svar skickades till applikationens författare med begäran om ytterligare information. Samtidigt märkte analytikern inte att han, tillsammans med resultatet av en misslyckad kontroll, oavsiktligt skickade innehållet i sin session Cookie. I synnerhet, under dialogen, gav analytikern ett exempel på en HTTP-förfrågan från curl-verktyget, inklusive HTTP-rubriker, från vilken han glömde att rensa innehållet i sessionens Cookie.
Forskaren märkte denna förbiseende och kunde få tillgång till ett privilegierat konto på hackerone.com genom att helt enkelt infoga det angivna Cookie-värdet utan att behöva gå igenom multifaktorautentiseringen som används i tjänsten. Attacken var möjlig eftersom hackerone.com inte binder sessionen till användarens IP eller webbläsare. Det problematiska sessions-ID:t raderades två timmar efter att läckrapporten publicerades. Det beslutades att betala forskaren 20 tusen dollar för att ha informerat om problemet.
HackerOne initierade en granskning för att analysera möjliga förekomster av liknande Cookie-läckor tidigare och för att bedöma potentiella läckor av proprietär information om problem hos tjänstkunder. Granskningen avslöjade inga bevis på läckor i det förflutna och fastställde att forskaren som visade problemet kunde få information om cirka 5 % av alla program som presenterades i tjänsten som var tillgängliga för analytikern vars sessionsnyckel användes.
För att skydda mot liknande attacker i framtiden implementerade vi bindning av sessionsnyckeln till IP-adressen och filtrering av sessionsnycklar och autentiseringstokens i kommentarer. I framtiden planerar de att ersätta bindning till IP med bindning till användarenheter, eftersom bindning till IP är obekvämt för användare med dynamiskt utfärdade adresser. Det beslutades också att utöka loggsystemet med information om användaråtkomst till data och implementera en modell för granulär åtkomst för analytiker till kunddata.
Källa: opennet.ru