В минувшие выходные независимый исследователь Натан Малкольм (Nathan Malcolm) опубликовал в своем блоге интересный рассказ о том, как он нашел ряд багов в Imgur, позволявших получить практически полый доступ к ресурсу. Исследователь долго общался со службой безопасности сервиса и убедил CEO Imgur увеличить размер выплат по программе bug bounty.
Малкольма можно назвать профессиональным охотником за вознаграждениями. Так, он не впервые сообщил Imgur об уязвимостях, фактически он нашел первые баги еще до старта официальной bug bounty программы. Еще летом 2015 года исследовать обнаружил на сайте XSS и CSRF уязвимости и возможность реализации кликджекинга. Тогда Малкольм и познакомился с руководителем Imgur, который лично написал исследователю письмо с благодарностью за проделанную работу. Так как тогда программы вознаграждений у сайта не существовало, исследователя наградили лишь специальными баллами для профиля (swag points).
После того как Imgur был атакован пользователям 8chan и подвергся мощной DDoS-атаке, у ресурса наконец появилась собственная программа вознаграждений. Тогда Малкольм попытался получить финансовое вознаграждение за проделанную работу, однако добавление в bug bounty более чем двадцати старых багов принесло исследователю всего $50. Сам Мальком полагает, что мизерный размер вознаграждения связан с тем, что на тот момент он уже получил за эти уязвимости так называемые «swag points» для профиля.
Тогда исследователь решил поискать новые уязвимости. Вскоре Малкольм обнаружил сервер разработчиков, неосмотрительно оставленный открытым для внешних соединений. Здесь он обнаружил своего рода миниатюрную копию Imgur со включенными отладочными инструментами (вроде Kohana PHP профайлера). Кроме того, сервер работал на базе устаревшей версии ElasticSearch, уязвимой для критического бага CVE-2014–3120.
В итоге исследователь сумел добраться «изнанки» Imgur, получил доступ к файлам /etc/passwd, а также к keys.php, в котором содержались ключи API от Fastly, MailChimp, reCAPTCHA, AWS, а также ключи API от мобильных приложений Imgur.
Так как Малкольм задался целью продемонстрировать службе безопасности сервиса, какой урон Imgur может нанести злоумышленник, он воспользовался одним из паролей и залогинился в одну из MySQL баз компании. В теории никто не должен был знать, даже где расположена данная БД.
После исследователь подал новый баг репорт, описав в нем все свои находки. На этот раз исследователю решили выплатить не $50, но $500, а Малкольм снова получил письмо от CEO компании.
Все еще неудовлетворенный размером вознаграждения, исследователь ответил руководителю Imgur и объяснил, что компания должна увеличить размеры выплат по программе bug bounty не только в его, Малкольма, случае, но для всех исследователей вообще.
«Программы bug bounty похожи на набор наемников. Это обходится дешевле, чем регулярная армия пентестеров, но потом не жалуйтесь, если наемники решат сменить сторону, потому что другие платят им больше», — писал Малкольм.
Как ни странно, воззвание исследователя было услышано. В январе 2016 года руководство Imgur действительно решило увеличить размеры вознаграждений, а выплата самого Малкольма возросла с $500 до $5000.
Фото: imgur.com