Хакер #305. Многошаговые SQL-инъекции
Компания HackerOne рассказала об инциденте, который недавно произошел по вине одного из ее сотрудников.
В прошлом месяце исследователь, известный под ником haxta4ok00, общался с одним из аналитиков безопасности HackerOne. В одном из сообщений сотрудник HackerOne отправил члену сообщества часть команды cURL, скопировав ее из консоли браузера. В итоге в руках исследователя оказался действительный cookie-файл сеанса, который давал ему возможность читать и частично изменять данные, к которым имел доступ аналитик. В их число входили отчеты других клиентов HackerOne, в том числе для закрытых программам по поиску багов, а также исследователь писал, что имел возможность выплачивать вознаграждения, изменять информацию о bug bounty программах, добавлять новых пользователей и так далее.
«Я могу читать все отчеты @security и других программ. Я обнаружил, что имею возможность редактирования в частной программе (для теста). Я ничего не изменял и не использовал», — писал haxta4ok00 на ломанном английском.
Доступ у haxta4ok00 отозвали спустя несколько часов, и началось расследование случившегося. Сейчас представители HackerOne утверждают, что инцидент затронул менее 5% всех bug bounty программ платформы, и haxta4ok00 не имел возможности читать все «отчеты @security», но временно получил доступ к ограниченному количеству сообщения об ошибках, причем для большинства он мог видеть лишь название и немного метаданных.
Сам haxta4ok00 уверяет, что сразу после разрешения проблемы удалил все скриншоты, логи прокси, историю браузера и прочие данные, полученные в ходе несанкционированного доступа. Факт удаления представители платформы, конечно, подтвердить не могут, но они пишут, что все доступные им логи показывают, что haxta4ok00 не пытался вносить какие-либо изменения и как-то навредить.
Теперь разработчики HackerOne обещают привязывать cookie к IP-адресу пользователя (как предлагал haxta4ok00), которому они были выданы, что предотвратит их повторное использование посторонними. Также компания внедрила защитный механизм, который будет автоматически обнаруживать и редактировать cookie-файлы сеансов и другие конфиденциальные данные, представленные в комментариях. Кроме того, планируется внедрить новые инструменты для регистрации информации о доступе к данным, привязку сеансов к конкретным устройствам, а также уделить больше времени обучению сотрудников и пересмотреть модель разрешений для аналитиков безопасности.
За обнаружение проблемы и помощь в расследовании случившегося haxta4ok00 получил от HackerOne вознаграждение в размере 20 000 долларов США.