SOS :: Security Operation Space
18 сентября, пятница, 00:00
|
Hot News:

Этичный хакер выявил уязвимость в процессах HackerOne

06 декабря 2019 г., пятница, 16:26

Портал выплатил $20 тысяч специалисту, случайно получившему сеансовый файл cookie от сотрудника техподдержки.

Операторы портала HackerOne выплатили $20 тыс. исследователю, обнаружившему серьезную уязвимость в их собственной платформе для хостинга программ bug bounty. Выявленный недостаток позволял атакующему получить доступ к отчетам клиентов сервиса и другой конфиденциальной информации. Проблема была связана со случайным раскрытием идентификаторов сеанса в переписке службы поддержки.

Как была обнаружена уязвимость на HackerOne

Инцидент произошел 24 ноября 2019 года и стал следствием человеческой ошибки. Сотрудник HackerOne попытался воспроизвести некую уязвимость, найденную этичным хакером haxta4ok00, однако потерпел неудачу. Написав об этом исследователю, он случайно включил в тело письма свой сеансовый файл cookie, который мог быть использован для доступа к порталу.

Как пояснили представители HackerOne, часть команды c URL, скопированная с консоли браузера, не была удалена при ответе клиенту сервиса. В результате этичный хакер получил возможность авторизоваться на портале с привилегиями сотрудника. Обнаружив идентификатор, haxta4ok00 заявил об уязвимости в программе bug bounty HackerOne, указав на серьезность допущенной утечки.

Портал отозвал скомпрометированный файл cookie и проверил остальные сообщения службы техподдержки на наличие конфиденциальных данных. Разработчики сервиса уже реализовали несколько краткосрочных мер, направленных на предотвращение подобных инцидентов в будущем. Теперь на HackerOne действует привязка сеанса пользователя к IP-адресу, используемому при первоначальном входе в систему, а также ограничение доступа сотрудников к ресурсам из определенных стран.

Сервис также обновил политику безопасности своей программы bug bounty, включив в нее случаи, когда хакер может иметь доступ к учетной записи HackerOne, секретным ключам или конфиденциальным данным. Дополнительно разработчики платформы добавили в нее функцию проверки исходящих сообщений на наличие сеансовых куки и токенов аутентификации. Если такой контент будет обнаружен, система запросит подтверждение отправки письма.

На HackerOne зарегистрированы сотни тысяч этичных хакеров. По данным платформы, в 2018 году размер вознаграждений, полученных клиентами сервиса от вендоров, составил более $18 млн. Среди ИБ-специалистов преобладают представители Индии, следом за ними идут пользователи из США, России, Пакистана и Великобритании.

Ваш голос учтён!
нравится
не нравится Рейтинг:
1
Всего голосов: 1
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
13:15
11:15
11:15
09:15
07:15
07:15
06:15
16:15
13:15
12:15
10:15
09:15
06:15
13:15
11:15
09:15
07:15
06:15


© 2013—2020 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.312
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.