Jukwaa la HackerOne, ambalo huruhusu watafiti wa usalama kuwafahamisha wasanidi programu kuhusu kubaini udhaifu na kupokea zawadi kwa hili, lilipokelewa. kuhusu hacking yako mwenyewe. Mmoja wa watafiti alifanikiwa kufikia akaunti ya mchambuzi wa usalama katika HackerOne, ambaye ana uwezo wa kuona nyenzo zilizoainishwa, ikiwa ni pamoja na taarifa kuhusu udhaifu ambao bado haujarekebishwa. Tangu kuanzishwa kwa jukwaa hilo, HackerOne imelipa watafiti jumla ya dola milioni 23 ili kubaini udhaifu katika bidhaa kutoka kwa wateja zaidi ya 100, wakiwemo Twitter, Facebook, Google, Apple, Microsoft, Slack, Pentagon, na Jeshi la Wanamaji la Marekani.
Ni vyema kutambua kwamba uchukuaji wa akaunti uliwezekana kutokana na makosa ya kibinadamu. Mmoja wa watafiti aliwasilisha ombi la kukaguliwa kuhusu uwezekano wa kuathirika katika HackerOne. Wakati wa uchanganuzi wa programu, mchambuzi wa HackerOne alijaribu kurudia mbinu iliyopendekezwa ya udukuzi, lakini tatizo halikuweza kutolewa tena, na jibu lilitumwa kwa mwandishi wa programu kuomba maelezo ya ziada. Wakati huo huo, mchambuzi hakugundua kuwa, pamoja na matokeo ya hundi isiyofanikiwa, alituma bila kujua yaliyomo kwenye kikao chake Cookie. Hasa, wakati wa mazungumzo, mchambuzi alitoa mfano wa ombi la HTTP lililotolewa na shirika la curl, ikiwa ni pamoja na vichwa vya HTTP, ambayo alisahau kufuta yaliyomo kwenye Cookie ya kikao.
Mtafiti aliona uangalizi huu na aliweza kupata ufikiaji wa akaunti ya bahati kwenye hackerone.com kwa kuingiza tu thamani iliyobainishwa ya Kuki bila kupitia uthibitishaji wa vipengele vingi unaotumiwa katika huduma. Shambulio hilo liliwezekana kwa sababu hackerone.com haikufunga kipindi kwa IP au kivinjari cha mtumiaji. Kitambulisho cha kipindi chenye matatizo kilifutwa saa mbili baada ya ripoti ya uvujaji kuchapishwa. Iliamuliwa kumlipa mtafiti dola elfu 20 kwa kufahamisha juu ya shida.
HackerOne ilianzisha ukaguzi ili kuchanganua uwezekano wa kutokea kwa uvujaji wa Vidakuzi kama hivyo hapo awali na kutathmini uwezekano wa uvujaji wa taarifa za wamiliki kuhusu matatizo ya wateja wa huduma. Ukaguzi haukuonyesha ushahidi wa uvujaji hapo awali na kuamua kuwa mtafiti ambaye alionyesha tatizo angeweza kupata taarifa kuhusu takriban 5% ya programu zote zilizowasilishwa katika huduma ambazo zilifikiwa na mchambuzi ambaye ufunguo wa kikao ulitumiwa.
Ili kulinda dhidi ya mashambulizi kama haya katika siku zijazo, tulitekeleza ufungaji wa ufunguo wa kipindi kwa anwani ya IP na kuchuja funguo za kipindi na tokeni za uthibitishaji katika maoni. Katika siku zijazo, wanapanga kuchukua nafasi ya kuunganisha kwa IP na kumfunga vifaa vya mtumiaji, kwa kuwa kushurutisha kwa IP sio rahisi kwa watumiaji walio na anwani zilizotolewa kwa nguvu. Iliamuliwa pia kupanua mfumo wa kumbukumbu na habari kuhusu ufikiaji wa mtumiaji kwa data na kutekeleza mfano wa ufikiaji wa punjepunje kwa wachambuzi kwa data ya mteja.
Chanzo: opennet.ru