Этичный хакер выявил уязвимость в процессах HackerOne

06 декабря 2019 г., пятница

Портал выплатил $20 тысяч специалисту, случайно получившему сеансовый файл cookie от сотрудника техподдержки.

Операторы портала HackerOne выплатили $20 тыс. исследователю, обнаружившему серьезную уязвимость в их собственной платформе для хостинга программ bug bounty. Выявленный недостаток позволял атакующему получить доступ к отчетам клиентов сервиса и другой конфиденциальной информации. Проблема была связана со случайным раскрытием идентификаторов сеанса в переписке службы поддержки.

Инцидент произошел 24 ноября 2019 года и стал следствием человеческой ошибки. Сотрудник HackerOne попытался воспроизвести некую уязвимость, найденную этичным хакером haxta4ok00, однако потерпел неудачу. Написав об этом исследователю, он случайно включил в тело письма свой сеансовый файл cookie, который мог быть использован для доступа к порталу.

Как пояснили представители HackerOne, часть команды c URL, скопированная с консоли браузера, не была удалена при ответе клиенту сервиса. В результате этичный хакер получил возможность авторизоваться на портале с привилегиями сотрудника. Обнаружив идентификатор, haxta4ok00 заявил об уязвимости в программе bug bounty HackerOne, указав на серьезность допущенной утечки.

Портал отозвал скомпрометированный файл cookie и проверил остальные сообщения службы техподдержки на наличие конфиденциальных данных. Разработчики сервиса уже реализовали несколько краткосрочных мер, направленных на предотвращение подобных инцидентов в будущем. Теперь на HackerOne действует привязка сеанса пользователя к IP-адресу, используемому при первоначальном входе в систему, а также ограничение доступа сотрудников к ресурсам из определенных стран.

Сервис также обновил политику безопасности своей программы bug bounty, включив в нее случаи, когда хакер может иметь доступ к учетной записи HackerOne, секретным ключам или конфиденциальным данным. Дополнительно разработчики платформы добавили в нее функцию проверки исходящих сообщений на наличие сеансовых куки и токенов аутентификации. Если такой контент будет обнаружен, система запросит подтверждение отправки письма.

На HackerOne зарегистрированы сотни тысяч этичных хакеров. По данным платформы, в 2018 году размер вознаграждений, полученных клиентами сервиса от вендоров, составил более $18 млн. Среди ИБ-специалистов преобладают представители Индии, следом за ними идут пользователи из США, России, Пакистана и Великобритании.

Threatpost