The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Атака на HackerOne, позволившая получить доступ к закрытым отчётам об уязвимостях

04.12.2019 21:58

Платформа HackerOne, дающая возможность исследователям безопасности информировать разработчиков о выявлении уязвимостей и получать за это вознаграждения, получила отчёт о собственном взломе. Одному из исследователей удалось получить доступ к учётой записи аналитика по безопасности компании HackerOne, имеющего возможность просмотра закрытых материалов, в том числе со сведениями об ещё не устранённых уязвимостях. За время существования платформы через HackerOne исследователям в сумме было выплачено 23 млн долларов за выявление уязвимостей в продуктах более 100 клиентов, среди которых Twitter, Facebook, Google, Apple, Microsoft, Slack, Пентагон и ВМС США.

Примечательно, что захват учётной записи стал возможен из-за человеческого фактора. Один из исследователей отправил на рассмотрение заявку о потенциальной уязвимости в HackerOne. Аналитик HackerOne в ходе разбора заявки попытался повторить предложенный метод взлома, но проблему воспроизвести не удалось, и автору заявки был отправлен ответ с запросом дополнительных деталей. При этом аналитик не заметил, что вместе с результатами неудачной проверки по недосмотру отправил содержимое своей сессионной Cookie. В частности, в ходе диалога аналитик привёл пример выполненного утилитой curl HTTP-запроса, включающего HTTP-заголовки, из которых забыл почистить содержимое сессионной Cookie.

Исследователь заметил данную оплошность и смог получить доступ к привилегированной учётной записи на сайте hackerone.com, просто подставив замеченное значение Cookie без необходимости прохождения применяемой в сервисе многофакторной аутентификации. Атака стала возможной, так как на hackerone.com не применялась привязка сеанса к IP или браузеру пользователя. Проблемный сессионный идентификатор был удалён через два часа после публикации отчёта об утечке. За информирование о проблеме исследователю решено выплатить 20 тысяч долларов.

HackerOne инициировал аудит для анализа возможного возникновения подобных утечек Cookie в прошлом и для оценки потенциальных утечек закрытых сведений о проблемах клиентов сервиса. Аудит не выявил фактов утечек в прошлом и определил, что продемонстрировавший проблему исследователь мог получить сведения о примерно 5% из всех представленных в сервисе программ, к которым был открыт доступ аналитику, сессионный ключ которого был использован.

Для защиты от совершения подобных атак в будущем реализована привязка сессионного ключа к IP-адресу и фильтрация сессионных ключей и токенов аутентификации в комментариях. В дальнейшем привязку к IP планируют заменить на привязку к устройствам пользователя, так как привязка к IP неудобна для пользователей с динамически выдаваемыми адресами. Также решено расширить систему логов с информацией о доступе пользователей к данным и реализовать модель гранулированного доступа аналитиков к данным клиентов.

  1. Главная ссылка к новости (https://arstechnica.com/inform...)
  2. OpenNews: Взлом сайта криптовалюты Мonero с подменой предлагаемого для загрузки кошелька
  3. OpenNews: Взлом одного из серверов проекта Pale Moon с внедрением вредоносного ПО в архив старых выпусков
  4. OpenNews: Взлом репозиториев Canonical на GitHub (дополнено)
  5. OpenNews: Взлом внутренней сети NASA через плату Raspberry Pi
  6. OpenNews: Взлом дискуссионной площадки Stack Overflow (дополнено)
Лицензия: CC-BY
Наводку на новость прислал Artem S. Tashkinov
Тип: Проблемы безопасности
Ключевые слова: hack, hackerone
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (47) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, имя (ok), 22:38, 04/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > в дальнейшем планируют заменить на привязку [сессионных ключей] к устройствам пользователя

    Это как ещё?

     
     
  • 2.2, Аноним (2), 23:02, 04/12/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Так же как гугл фингерпринтит и узнаёт тебя даже в приватной вкладке. Для примера: в приватной вкладке можешь зайти в транслейт; выставить необычное направление перевода; перевести предложение или фразу; закрыть переводчик; закрыть приватную вкладку; закрыть браузер; подождать N минут; открыть вкладку и открыть транслейт; с удивлением обнаружить выставленное ранее направление перевода. У меня это сработало даже на разных профилях в FF на одной и той же виртуалке через день.
     
     
  • 3.4, Аноним (4), 23:12, 04/12/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    У меня без приватной вкладки всё забывает, жутко не удобно. Ты уверен, что это не evercookie какой-нибудь?
     
     
  • 4.6, Аноним (2), 23:32, 04/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Уверен. FF с CanvasBlocker, uBlock, запрещённым Flash и DRM на win8 в виртуалке. За этим IP ещё с десяток таких же машинок (реальных и виртуалок). Пробовал даже с чистым профилем. Запоминает, скотина, хоть ты тресни.
     
     
  • 5.9, хотел спросить (?), 00:13, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    херь какая-то...

    у меня белый статический айпишник и даже с ним нефига не запоминает...

    отключи 3rd party cookies и почисти все что у тебя сейчас есть

    момент интересный - требует исследования

     
  • 5.22, Тфьу (?), 06:10, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • +11 +/
    >FF с CanvasBlocker, uBlock, запрещённым Flash и DRM на win8 в виртуалке.

    есть 50 млн пользователей стокового FF на стоковой винде и есть несколько тысяч пользователей (если привязать это к IP, сразу станут единицы) с CanvasBlocker, uBlock, запрещённым Flash и DRM на win8 в виртуалке. Интересно, как же он тебя определил...

     
     
  • 6.29, barmaglot (??), 09:04, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > единицы) с CanvasBlocker, uBlock, запрещённым Flash и DRM на win8 в виртуалке. Интересно, как же он тебя определил...

    Ага, совсем никакого намёка на ответ :D

     
  • 3.7, Аноним (7), 23:35, 04/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >У меня это сработало даже на разных профилях в FF на одной и той же виртуалке через день.

    Это очень странно. Не имеет смысла использовать фингерпринтинг для пугания пользователя такими трюками.

     
     
  • 4.11, кельвин (?), 00:30, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    а это и не совсем фингерпринтинг.. это весьма дешёвый трюк определяющий всех анонимов с определённой подсети как одного пользователя.. когда все анонимы подсети оказываются одним человеком складывается впечатление что мы его как-то запомнили..
     
     
  • 5.27, проходил мимо (?), 07:27, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    нулевой имей
     
  • 3.12, тоже Аноним (ok), 00:53, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Открыл приватную вкладку, транслейт. Языки: авто - русский.
    Переключил русский - хинди, перевел фразу, закрыл приватную вкладку.
    Новая вкладка, транслейт. Языки: авто - русский.
    ФФ, АдБлок, Убунту.
    Ищите проблему на вашей стороне.

    Вот на айпаде мне Гугль в тамошнем КакБыХроме запоминал каждый запрос к Гуглю и потом выводил его в подсказку, это да. Даже если запрос был сделан в приватном окошке.

     
  • 3.19, Растобой (?), 03:49, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не сработало. Даже без закрытия браузера всё равно не запомнил выбранные языки (испанский - английский).
     
  • 2.3, xm (ok), 23:06, 04/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Метаданные из свойств браузера с привязкой к IP.
     
  • 2.10, хотел спросить (?), 00:17, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    элементарно хранить дополнительный ключик в localStorage
    берем какую-нибудь производную от него и от пришедшего в хидерах nonce
    и шлем в хидерах обратно
    варианта дофига.. главное не лажануть с реализацией

     

  • 1.5, Аноним (5), 23:19, 04/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Пожарный поезд сгорел.
     
     
  • 2.8, тоже Аноним (ok), 00:07, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    В ситуации нет ничего необычного. Nobody's perfect. No silver bullet.
    Эксперты просто могут профессиональнее обнаружить и исправить косяки.
    В том числе и свои собственные.
     

  • 1.13, Аноним (13), 00:58, 05/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    хорошо что он эту сессию какому то ламеру отправил а не куда то где бы оно реально пригодилось)
     
     
  • 2.18, Аноним (18), 03:09, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > какому то ламеру

    Подгорает, что получил двадцатку тысяч не ты, а кто-то дургой?

     
     
  • 3.21, Аноним (13), 05:48, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    ты не понял о чем я просто наверное, я про ситуацию говарю, мне вобще фиолетово на эти двацатки считай мало иннтересно
     
  • 2.37, CrazyAlex (?), 14:11, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Наоборот, так не интересно. Хотя о других ситуациях мы бы вряд ли узнали.
     

  • 1.14, n1rdeks (ok), 01:02, 05/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    так откупились за 20000. Дёшево. И, конечно, никак не проверить, что раньше не пересылалось подобное. "Утверждают", ну-ну.
     
     
  • 2.39, Андрей (??), 17:43, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Менеджеры в банках миллионы бонусом получают. А тут столько на кону стояло, а бонус - копейки.
     

  • 1.15, jOKer (ok), 01:12, 05/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    У кидди чуть не случился большой праздник. Почти фестиваль)

    Будь этот "исследователь" слегка менее принципиальным и порядочным, и кому-то бы настал большой кирдык. Внезапно. Например, Пентагону, который значится среди /постоянных?/ клиентов)) Ну, и ХакерВан уж точно получил бы апперкот по репутации.

     
     
  • 2.26, Аноним (26), 07:21, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >  слегка менее принципиальным и порядочным

    ... А не в этом ли суть, быть порядочным и принципиальным? Я рад, что так получилось, это правильное поведение.

     
     
  • 3.30, Аноним (30), 10:25, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Трусость, из которой человек придумал вежливость, нужна только для того, чтобы люди друг друга не поубивали. Если нет угрозы жизни - незачем быть порядочным и принципиальным
     
     
  • 4.40, Аноним (40), 08:15, 06/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >  нет угрозы жизни - незачем быть порядочным и принципиальным

    психология гопника в одном предложении.

    На самом деле есть достаточно причин, чтобы быть порядочным и принципиальным, первая из которых - не чувствовать постоянную угрозу жизни среди себе подобных.

     
     
  • 5.42, Урри (?), 12:10, 06/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > психология гопника в одном предложении.

    Антрополог Дробышевский утверждает, что наш общий предок был более похож на человека, чем на обезьяну. В частности, почти не имел выделяющихся клыков и вел себя не агрессивно.

    Вывод: неагрессивность - признак человека. "Гопническое" поведение - признак обезьяны.

     
     
  • 6.49, Фёдор Сологуб (?), 21:21, 07/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > был более похож на человека, чем на обезьяну.

    Внешне да.
    > В частности, почти не имел выделяющихся клыков и вел себя не агрессивно.

    Это не помешало нашим предкам съесть всех мамонтов и усторить геноцид неандертальцам.
    > Вывод: неагрессивность - признак человека. "Гопническое" поведение - признак обезьяны.

    Вывод неверный. На самом деле агрессивность/неагрессивность (тварь ли я дрожащая или...) зависит не от породы обезьяны, а от количества тестостерона, полученного в пренатальном/пуберантном периоде.

    В фидошные времена была популярна теория рангов Протопопова. Вкратце, поведение [генетически детерминированное] зависит от двух параметров: ранг и примативность. Ранг(тестостерон) определяет как высоко особь может/хочет забраться по социальному древу, а примАтивность (близость к предкам-приматам) - способность критически анализировать своё поведение и не поддаваться на инстиктивные позывы залезть повыше, туда, где светлее и удобнее кидаться экскрементами в лузеров на нижних ветках.

     
  • 5.46, jOKer (ok), 23:49, 06/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >>  нет угрозы жизни - незачем быть порядочным и принципиальным
    > психология гопника в одном предложении.
    > На самом деле есть достаточно причин, чтобы быть порядочным и принципиальным, первая
    > из которых - не чувствовать постоянную угрозу жизни среди себе подобных.

    Психология интеллигента в одном предложении. А между тем, только винтовка рождает власть, и только те, кто не бояться грабить банки, становятся царями всея Руси.


    Малшик, ты можешь себе воображать все что угодно, но если ты не знаешь что делать, - ты стоишь на месте. А некоторые из тех, кого ты обозвал "гопники", они, на твоем месте, делают шаг вперед.... и становятся царями. И делают Революции. И кроят Историю. А ты в это время будешь сидеть и скулить: "Варвара, волчица....", и думать "А может все так и надо? И великое предназначение интеллигенции...." В этом между вами разница.

     
     
  • 6.47, Аноним (40), 12:16, 07/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Малшик, ты можешь себе воображать все что угодно

    ну ну ну, зачем так в позу вставать. Я уже понял что ты - "пролетарий".
    Я не интеллигент, а скорее буржуин со своей компанией за бугром.

    > и становятся царями. И делают Революции. И кроят Историю

    Кстати, об царях и истории: https://www.bitchute.com/video/9NDTj4oHPHKe/

    Для того, чтобы "кроить историю" не нужно обладать высокими моральными качествами,
    а вот для того, чтобы построить цивилизацию - пожалуй.

    Впрочем, оставайтесь пожалуйста при своём мнении, оно очень важно для нас.

     
     
  • 7.50, li4inka (?), 17:07, 10/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Что это за высер про царей и историю? Сиди за бугром и не вякай, спинку потри своим новым царям. Буржуин он хах, бабуин ты эффенди. Чем же занимается твоя бабунская компани? Ролики про историю делает, так держать, оставайся при своем мнении, нам не него пофиг.
     
  • 4.44, Аноним (44), 22:38, 06/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Гопнек не гопнек,но не раз замечал людей которым в кайф трахать мозг другим культурным людям. А именно злоупотреблять доверием, нависать, итд-итп, вот все такие на будте любезны, спасибо-пожалуйста, а по факту эти хитрожопые финтифлюшки сами гопники и есть, насилие это не только: Э, слы ты!сюда быра!ща в глаз! Таким только обозначишь что способен послать, сразу масочки свои кислые скидывают и под корягу недовольно квакать, типа фи как никультурна, а тут же просто не прокатило..
     
     
  • 5.48, Аноним (40), 12:30, 07/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Гопники - лишь яркий пример слабого умственного развития, есть и другие примеры, когда люди не понимают, что заботиться о тех, кто рядом выгоднее, чем вытирать о них ноги и однажды проснуться с ножом в спине.
     
  • 4.45, jOKer (ok), 23:44, 06/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Есть конечно нюансы... но в целом.... в целом, не поспоришь!
     

  • 1.16, Аноним (16), 01:37, 05/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >атака
    >сами потеряли куку
    >атака

    люди, да что с вами не так?

     
     
  • 2.25, Аноним (26), 07:18, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > сами допустили переполнение буфера
    > сами не поставили автоматчиков у дверей
    > сами родились

    всё так

     

  • 1.17, qsdg (ok), 02:01, 05/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Лол, HackerOne не может даже XSRF защиту реализовать. Во всех нормальных веб-фреймворках есть.
     
     
  • 2.31, Аноним (30), 10:26, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > нормальных веб-фреймворках

    на стенку себе повешу

     

  • 1.20, Аноним (20), 05:08, 05/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На его месте должен быть я!
     
  • 1.23, Тфьу (?), 06:12, 05/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Лол. Сапожник в сапогах, но сапоги без подошвы.
     
  • 1.24, Аноним (26), 07:17, 05/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "Хакер и солонка", бесконечная франшиза
     
  • 1.28, Аноним (28), 07:54, 05/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    очередная победа вэб-технологий
     
  • 1.32, InuYasha (?), 11:33, 05/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    20K и звание "исследователя" - чтобы тот не побежал раздавать увиденные "5%" на хакерских форумах? :)

    Такой себе "взлом". :-/

     
  • 1.36, Аноним (36), 13:20, 05/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > реализована привязка сессионного ключа к IP-адресу

    Ну блин...

    > В дальнейшем привязку к IP планируют заменить на привязку к устройствам пользователя, так как привязка к IP неудобна для пользователей с динамически выдаваемыми адресами.

    А, ну ок. А то с мобилки и вайфаев всяких подофигеешь перелогиниваться.

    Кроче IP - мера временная, по горячим следам. Тада ок.

     
  • 1.38, Аноним (38), 16:03, 05/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > реализована привязка сессионного ключа к IP-адресу и фильтрация сессионных ключей и токенов аутентификации в комментариях. В дальнейшем привязку к IP планируют заменить на привязку к устройствам пользователя,

    Искусственно созданная проблема, для того чтобы снять телеметрию с пользователей.

     
  • 1.41, Аноним (41), 08:20, 06/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не понял что он там консольной утилитой делал на своем сайте? Или там виртуальная мышина для тестов уяхвимостей через http отчеты выплевывает, которые он кописпастил?
     
     
  • 2.43, Арчевод (?), 15:06, 06/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я вот тоже не очень понял, что это за "аналитик", который тестирует какие-то методики взлома в основной браузерной сессии.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру