Güvenlik araştırmacılarının geliştiricileri güvenlik açıklarının tespiti konusunda bilgilendirmesine ve bunun için ödüller almasına olanak tanıyan HackerOne platformu alındı kendi hacklemen hakkında. Araştırmacılardan biri, HackerOne'daki güvenlik analistinin hesabına erişmeyi başardı; bu analist, henüz düzeltilmemiş güvenlik açıkları hakkındaki bilgiler de dahil olmak üzere gizli materyalleri görüntüleyebiliyor. Platformun başlangıcından bu yana HackerOne, aralarında Twitter, Facebook, Google, Apple, Microsoft, Slack, Pentagon ve ABD Donanması'nın da bulunduğu 23'den fazla müşterinin ürünlerindeki güvenlik açıklarını tespit etmeleri için araştırmacılara toplam 100 milyon dolar ödedi.
Hesabın ele geçirilmesinin insan hatası nedeniyle mümkün hale gelmesi dikkat çekiyor. Araştırmacılardan biri HackerOne'daki olası bir güvenlik açığının incelenmesi için başvuruda bulundu. Uygulamanın analizi sırasında bir HackerOne analisti önerilen hackleme yöntemini tekrarlamaya çalıştı ancak sorun tekrarlanamadı ve uygulamanın yazarına ek ayrıntılar isteyen bir yanıt gönderildi. Aynı zamanda analist, başarısız bir kontrolün sonuçlarıyla birlikte yanlışlıkla oturum Çerezinin içeriğini gönderdiğini de fark etmedi. Özellikle, diyalog sırasında analist, oturum Çerezinin içeriğini temizlemeyi unuttuğu HTTP başlıkları da dahil olmak üzere, curl yardımcı programı tarafından yapılan bir HTTP isteğinin örneğini verdi.
Araştırmacı bu dikkatsizliği fark etti ve hizmette kullanılan çok faktörlü kimlik doğrulamadan geçmek zorunda kalmadan sadece belirtilen Çerez değerini girerek hackerone.com'daki ayrıcalıklı bir hesaba erişim elde edebildi. Saldırı, hackerone.com'un oturumu kullanıcının IP'sine veya tarayıcısına bağlamaması nedeniyle mümkün oldu. Sorunlu oturum kimliği, sızıntı raporunun yayınlanmasından iki saat sonra silindi. Araştırmacıya sorun hakkında bilgi vermesi karşılığında 20 bin dolar ödenmesine karar verildi.
HackerOne, geçmişte benzer Çerez sızıntılarının olası oluşumunu analiz etmek ve hizmet müşterilerinin sorunlarına ilişkin potansiyel özel bilgi sızıntılarını değerlendirmek için bir denetim başlattı. Denetim geçmişte sızıntılara dair bir kanıt ortaya çıkarmadı ve sorunu ortaya koyan araştırmacının, oturum anahtarı kullanılan analistin erişebildiği, hizmette sunulan tüm programların yaklaşık %5'i hakkında bilgi edinebildiğini belirledi.
Gelecekte benzer saldırılara karşı koruma sağlamak için, oturum anahtarının IP adresine bağlanmasını ve yorumlardaki oturum anahtarlarının ve kimlik doğrulama belirteçlerinin filtrelenmesini uyguladık. Gelecekte, IP'ye bağlanmayı kullanıcı cihazlarına bağlanmayla değiştirmeyi planlıyorlar çünkü IP'ye bağlanma, dinamik olarak verilen adreslere sahip kullanıcılar için sakıncalıdır. Ayrıca, günlük sisteminin verilere kullanıcı erişimi hakkındaki bilgilerle genişletilmesine ve analistlerin müşteri verilerine ayrıntılı bir erişim modelinin uygulanmasına karar verildi.
Kaynak: opennet.ru