 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
24 апреля, среда, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Портал выплатил $20 тысяч специалисту, случайно получившему сеансовый файл cookie от сотрудника техподдержки.
Операторы портала HackerOne выплатили $20 тыс. исследователю, обнаружившему серьезную уязвимость в их собственной платформе для хостинга программ bug bounty. Выявленный недостаток позволял атакующему получить доступ к отчетам клиентов сервиса и другой конфиденциальной информации. Проблема была связана со случайным раскрытием идентификаторов сеанса в переписке службы поддержки.
Инцидент произошел 24 ноября 2019 года и стал следствием человеческой ошибки. Сотрудник HackerOne попытался воспроизвести некую уязвимость, найденную этичным хакером haxta4ok00, однако потерпел неудачу. Написав об этом исследователю, он случайно включил в тело письма свой сеансовый файл cookie, который мог быть использован для доступа к порталу.
Как пояснили представители HackerOne, часть команды c URL, скопированная с консоли браузера, не была удалена при ответе клиенту сервиса. В результате этичный хакер получил возможность авторизоваться на портале с привилегиями сотрудника. Обнаружив идентификатор, haxta4ok00 заявил об уязвимости в программе bug bounty HackerOne, указав на серьезность допущенной утечки.
Портал отозвал скомпрометированный файл cookie и проверил остальные сообщения службы техподдержки на наличие конфиденциальных данных. Разработчики сервиса уже реализовали несколько краткосрочных мер, направленных на предотвращение подобных инцидентов в будущем. Теперь на HackerOne действует привязка сеанса пользователя к IP-адресу, используемому при первоначальном входе в систему, а также ограничение доступа сотрудников к ресурсам из определенных стран.
Сервис также обновил политику безопасности своей программы bug bounty, включив в нее случаи, когда хакер может иметь доступ к учетной записи HackerOne, секретным ключам или конфиденциальным данным. Дополнительно разработчики платформы добавили в нее функцию проверки исходящих сообщений на наличие сеансовых куки и токенов аутентификации. Если такой контент будет обнаружен, система запросит подтверждение отправки письма.
На HackerOne зарегистрированы сотни тысяч этичных хакеров. По данным платформы, в 2018 году размер вознаграждений, полученных клиентами сервиса от вендоров, составил более $18 млн. Среди ИБ-специалистов преобладают представители Индии, следом за ними идут пользователи из США, России, Пакистана и Великобритании.
 |
нравится | не нравится |  |
Рейтинг: | 1 |
Всего голосов: 1 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
