Încălcarea HackerOne permite hackerului să citească rapoartele de eroare private ale clienților

Ca platformă de raportare a vulnerabilității, HackerOne a plătit hackerilor mai mult de 23 de milioane de dolari în numele a peste 100 de clienți, inclusiv Twitter, Slack și Pentagonul SUA. Poziția companiei îi oferă, de asemenea, acces la cantități inimaginabile de date sensibile. Acum, compania a plătit o sumă de 20.000 de dolari din propriul buzunar, după ce a dat accidental unui hacker din exterior capacitatea de a citi și modifica unele rapoarte de eroare pentru clienți.

Persoana de afară – un membru al comunității HackerOne, care a avut un bilanț dovedit de constatare și raportare privată a vulnerabilităților prin intermediul platformei – comunicase la sfârșitul lunii trecute cu unul dintre analiștii de securitate ai companiei. Într-un singur mesaj, analistul HackerOne a trimis părți membre ale comunității unei comenzi cURL care a inclus în mod greșit un cookie de sesiune valabil, care a dat oricui care avea în posesia acesteia posibilitatea de a citi și modifica parțial datele la care a avut acces analistul.

„HackerOneStaff Access”, a scris membrul comunității haxta4ok00 în engleză spartă pe 24 noiembrie. „Pot citi toate rapoartele @security și mai multe programe.” Într-un mesaj de urmărire, haxta4ok00 a scris: „Am găsit ce puteți edita programul privat (pentru testare) Nu am schimbat nimic și nu am folosit, totul de dragul hackingului. ”În aceeași zi, hackerul a urmărit din nou, scriind:„ Dacă aveți nevoie de Dovadă, pot scrie un mesaj [redacted].“

HackerOne a revocat cookie-ul de sesiune la ora 7:11 am ora Pacificului, exact la două ore și trei minute după ce haxta4ok00 a raportat încălcarea. Echipa de reacție a incidentelor companiei și-a propus să investigheze ce s-a întâmplat și cât de multe pagube au fost făcute.

Evaluarea daunelor

HackerOne nu spune exact cât de multe date au fost expuse. Un raport despre incident, publicat marți, a spus că toți clienții afectați au fost deja notificați în privat. Raportul de marți spunea, de asemenea, că datele se limitau la rapoartele la care a avut acces analistul de securitate, dar divulgarea nu oferă nici măcar o estimare aproximativă a numărului de clienți sau a câtor date au fost afectate. Cu toate acestea, raportul și o transcriere însoțitoare a comunicărilor HackerOne cu haxta4ok00 sugerează că expunerea a fost non-banală.

„A apărut ceva pe care nu v-am solicitat-o ​​încă”, i-a scris cofertierul HackerOne, Jobert Abma, hackerului, o zi după incident. „Nu am considerat necesar să aveți toate rapoartele și paginile pentru a valida dacă ați avut acces la cont. Te-ar deranja să îmi explici de ce ne-ai făcut asta? ”

Membrul comunității a spus că a făcut-o pentru a „arăta impactul” și că nu a intenționat niciun rău și a raportat accesul imediat. „Nu eram sigur că, după înlocuirea jetonului, voi deține toate drepturile”, a scris el. Într-un mesaj ulterior, haxta4ok00 a continuat să scrie:

  • Acum trei ani am menționat un astfel de atac, dar a fost teoretic și nu am fost ascultat (aici [report] # 163381 Am scris în teorie găsi acest lucru în viitor). Dacă acest lucru va ajuta eu sunt moderator sistemic pe unul dintre forumurile de securitate. Și ne-am protejat de astfel de atacuri, legând sesiunea la adresa IP de la intrare. De asemenea, am făcut autorizație de bază pentru accesul la secțiuni private. Poate că asta vă va ajuta.
  • Am înțeles, că am văzut date care nu ar trebui să fie văzute, dar acest lucru a fost doar un interes de hacking în scopuri albe, am vrut să mă uit și să vă arăt prejudecăți consecința acestui lucru poate duce (am fost întotdeauna învățat să scriu impactul complet care poate fi) . A fost un fericit hacking alb pentru mine.
  • Vă rugăm să nu vă certați █████ este unul dintre cei mai buni personal care ajută la hackerone

Și îmi pare rău, dacă eu, că este slab tradus, sper să mă înțeleg. Multumesc din nou @jobert

Abma a răspuns că „acesta a devenit un incident mai mare datorită cantității de date pe care le-ați accesat, nu pentru că s-a întâmplat în primul rând.”

Un alt mesaj pe care Abma îl transmite este de a spune. Citește:

Datorită naturii datelor care ar putea fi accesate, alte sisteme decât hackerone.com pot fi accesibile. Scopul include activele clientului din cauza informațiilor despre vulnerabilitate la care ar fi putut fi accesat.

Transcrierea și raportul sugerează, de asemenea, că încălcarea a oferit străinului alte abilități potențial mai serioase, inclusiv plata banilor, modificarea detaliilor programului, adăugarea de utilizatori și suspendarea trimiterilor clienților. Haxta4ok00 s-a asigurat că HackerOne hackerul a limitat accesul la „numai citire”. Într-un e-mail, HackerOne Directorul Securității Reed Loden a spus că jurnalele de rețea nu arată că nu au fost încercate modificări.

De asemenea, hackerul a asigurat HackerOne că toate capturile de ecran, exporturile, jurnalele de proxy, istoricul browserului și alte date capturate în timpul accesului neautorizat au fost șterse, deși hackerul a recunoscut că nu există nicio modalitate de a demonstra acest lucru.

Loden a negat ca „incorectă” afirmația făcută la începutul raportului, că haxta4ok00 ar putea „citi toate rapoartele @ securitate și mai multe programe”. Loden a scris:

Hackerul ar putea accesa pentru o perioadă scurtă de timp un subset limitat de rapoarte de vulnerabilitate pentru programele clienților permise de cookie-ul de sesiune. Majoritatea rapoartelor afectate aveau doar titlul și metadatele limitate vizibile. Odată trimis un raport, descrierea originală nu poate fi modificată și am confirmat prin jurnale că nu s-a încercat nicio modificare a rapoartelor. Acest lucru a fost confirmat și de hacker.

El a refuzat să spună în megabytes sau gigabytes câte date au fost accesate de haxta4ok00 sau câți clienți au fost afectați, în afară de a spune că încălcarea „a afectat mai puțin de 5% din programe”.

Loden a mai spus că atacul haxta4ok00 raportat în urmă cu trei ani a fost un „scenariu pur teoretic axat pe browsere mai vechi care nu erau și nu sunt încă, susținute de platforma HackerOne.” Loden a spus că partajarea cookie-urilor de sesiune cu membrii comunității nu a fost raportat anterior

Masuri preventive

Raportul a detaliat pașii pe care HackerOne a făcut-o pentru a preveni încălcări similare în viitor. După cum a sugerat haxta4ok00, un pas a fost legarea cookie-urilor de autentificare la adresa IP a utilizatorului căruia i-a fost emis. Această mișcare împiedică cookie-urile să fie reutilizate de către străini.

Raportul de marți spunea: „Schimbarea a fost lansată pentru angajații HackerOne (inclusiv toți analiștii de securitate HackerOne) pe 25 noiembrie 2019.” Totuși, un mesaj pe care Abma a trimis-o haxta4ok00 pe 26 noiembrie a declarat: „Amânăm lansarea tuturor utilizatorilor datorită persoanelor care au cazuri legitime de utilizare pentru utilizarea mai multor adrese IP (de exemplu ISP-uri cu DHCP). "

Alte măsuri pe termen scurt includ blocarea accesului din anumite țări și trecerea de la notificările despre Slack la paginarea unei persoane de securitate de gardă atunci când sunt prezentate rapoarte critice. De asemenea, compania a implementat controale care detectează și redă automat cookie-urile de sesiune și alte date sensibile transmise în comentarii. Alte măsuri preventive pe care intenționează să le pună în aplicare HackerOne includ adăugarea de noi înregistrări de informații despre accesul la date, sesiuni de legare la dispozitivele specifice, îmbunătățirea educației angajaților și revizuirea modelului de permisiune a analistului de securitate.

Nu există nicio indicație că niciuna dintre datele expuse în încălcare a fost modificată, stocată sau transmisă unor părți în afară de haxta4ok00. Totuși, evenimentul arată riscurile pe care companiile le asumă atunci când au încredere într-o petrecere externă cu unele dintre cele mai sensibile secrete de afaceri ale acestora. Katie Moussouris, responsabilul principal al politicii HackerOne din 2014 până în 2016, mi-a spus că a părăsit compania, deoarece a început un program pilot pe care l-a condus pentru Departamentul Apărării. Dublat Hack the Pentagon, nu a fost doar primul program federal de recompense pentru bug-uri. De asemenea, a fost prima incursiune a HackerOne în triajul vulnerabilității în numele unui client.

Acum, CEO și fondatorul Luta Security, o consultanță în domeniul vulnerabilității care a lucrat cu HackerOne la programul Hack the Pentagon, Moussouris a spus despre HackerOne:

Nu au încercat niciodată să facă triaj pentru clienți înainte de Pentagon. I-am avertizat că munca de triaj în care am putea avea încredere ar fi incredibil de greu de găsit. Și faptul că platforma, așa cum a fost proiectată, ar avea nevoie de controale granulare mult mai stricte pe partea din spate, pentru a restricționa accesul pe program, mai ales dacă contractorii ar fi obișnuiți să facă triaj.

Îi sfătuiesc pe clienții mei să nu externalizeze triajul pentru dezvăluirea vulnerabilității sau programele de recompensare a erorilor care vizează sisteme sensibile, deoarece contractorii sunt adesea cei care efectuează triaje pe aceste platforme gestionate pentru bug-uri. [Customers] ar trebui, de asemenea, să remedieze aceste erori cât mai repede posibil, din moment ce o amenințare privilegiată din partea platformelor de recompensă a erorilor sau un atacator extern care obține acces, ar putea vedea un tezaur de vulnerabilități neatacate stocate în aceste sisteme.

Am impresia că toate lucrurile despre care am avertizat cu privire la riscurile actualelor implementări ale platformelor de recompense pentru bug-uri în ultimii doi ani sunt prezentate în acest raport.

În ceea ce privește HackerOne, Loden a spus că rezoluția și dezvăluirea detaliată a accesului neautorizat – o practică pe care a spus că este standard pentru fiecare eveniment de securitate care afectează compania – este o dovadă a angajamentului lui HackerOne de a proteja secretele clienților săi.

„Incidentele de securitate vor exista întotdeauna, iar modul în care o companie răspunde poate fi mai grăitoare decât vulnerabilitatea în sine”, a scris el. „Ne propunem să arătăm comunității și clienților noștri prin acțiunile pe care le facem în mod activ pentru a ne îmbunătăți securitatea.”

Sursa articol

LĂSAȚI UN MESAJ

Please enter your comment!
Please enter your name here