The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Атака на HackerOne, позволившая получить доступ к закрытым отчётам об уязвимостях

04.12.2019 21:58

Платформа HackerOne, дающая возможность исследователям безопасности информировать разработчиков о выявлении уязвимостей и получать за это вознаграждения, получила отчёт о собственном взломе. Одному из исследователей удалось получить доступ к учётой записи аналитика по безопасности компании HackerOne, имеющего возможность просмотра закрытых материалов, в том числе со сведениями об ещё не устранённых уязвимостях. За время существования платформы через HackerOne исследователям в сумме было выплачено 23 млн долларов за выявление уязвимостей в продуктах более 100 клиентов, среди которых Twitter, Facebook, Google, Apple, Microsoft, Slack, Пентагон и ВМС США.

Примечательно, что захват учётной записи стал возможен из-за человеческого фактора. Один из исследователей отправил на рассмотрение заявку о потенциальной уязвимости в HackerOne. Аналитик HackerOne в ходе разбора заявки попытался повторить предложенный метод взлома, но проблему воспроизвести не удалось, и автору заявки был отправлен ответ с запросом дополнительных деталей. При этом аналитик не заметил, что вместе с результатами неудачной проверки по недосмотру отправил содержимое своей сессионной Cookie. В частности, в ходе диалога аналитик привёл пример выполненного утилитой curl HTTP-запроса, включающего HTTP-заголовки, из которых забыл почистить содержимое сессионной Cookie.

Исследователь заметил данную оплошность и смог получить доступ к привилегированной учётной записи на сайте hackerone.com, просто подставив замеченное значение Cookie без необходимости прохождения применяемой в сервисе многофакторной аутентификации. Атака стала возможной, так как на hackerone.com не применялась привязка сеанса к IP или браузеру пользователя. Проблемный сессионный идентификатор был удалён через два часа после публикации отчёта об утечке. За информирование о проблеме исследователю решено выплатить 20 тысяч долларов.

HackerOne инициировал аудит для анализа возможного возникновения подобных утечек Cookie в прошлом и для оценки потенциальных утечек закрытых сведений о проблемах клиентов сервиса. Аудит не выявил фактов утечек в прошлом и определил, что продемонстрировавший проблему исследователь мог получить сведения о примерно 5% из всех представленных в сервисе программ, к которым был открыт доступ аналитику, сессионный ключ которого был использован.

Для защиты от совершения подобных атак в будущем реализована привязка сессионного ключа к IP-адресу и фильтрация сессионных ключей и токенов аутентификации в комментариях. В дальнейшем привязку к IP планируют заменить на привязку к устройствам пользователя, так как привязка к IP неудобна для пользователей с динамически выдаваемыми адресами. Также решено расширить систему логов с информацией о доступе пользователей к данным и реализовать модель гранулированного доступа аналитиков к данным клиентов.

  1. Главная ссылка к новости (https://arstechnica.com/inform...)
  2. OpenNews: Взлом сайта криптовалюты Мonero с подменой предлагаемого для загрузки кошелька
  3. OpenNews: Взлом одного из серверов проекта Pale Moon с внедрением вредоносного ПО в архив старых выпусков
  4. OpenNews: Взлом репозиториев Canonical на GitHub (дополнено)
  5. OpenNews: Взлом внутренней сети NASA через плату Raspberry Pi
  6. OpenNews: Взлом дискуссионной площадки Stack Overflow (дополнено)
Лицензия: CC-BY
Наводку на новость прислал Artem S. Tashkinov
Тип: Проблемы безопасности
Ключевые слова: hack, hackerone
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (45) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, имя (ok), 22:38, 04/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > в дальнейшем планируют заменить на привязку [сессионных ключей] к устройствам пользователя

    Это как ещё?

     
     
  • 2.2, Аноним (2), 23:02, 04/12/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Так же как гугл фингерпринтит и узнаёт тебя даже в приватной вкладке. Для примера: в приватной вкладке можешь зайти в транслейт; выставить необычное направление перевода; перевести предложение или фразу; закрыть переводчик; закрыть приватную вкладку; закрыть браузер; подождать N минут; открыть вкладку и открыть транслейт; с удивлением обнаружить выставленное ранее направление перевода. У меня это сработало даже на разных профилях в FF на одной и той же виртуалке через день.
     
     
  • 3.4, Аноним (4), 23:12, 04/12/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    У меня без приватной вкладки всё забывает, жутко не удобно. Ты уверен, что это не evercookie какой-нибудь?
     
     
  • 4.6, Аноним (2), 23:32, 04/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Уверен. FF с CanvasBlocker, uBlock, запрещённым Flash и DRM на win8 в виртуалке. За этим IP ещё с десяток таких же машинок (реальных и виртуалок). Пробовал даже с чистым профилем. Запоминает, скотина, хоть ты тресни.
     
     
  • 5.9, хотел спросить (?), 00:13, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    херь какая-то...

    у меня белый статический айпишник и даже с ним нефига не запоминает...

    отключи 3rd party cookies и почисти все что у тебя сейчас есть

    момент интересный - требует исследования

     
  • 5.22, Тфьу (?), 06:10, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • +10 +/
    >FF с CanvasBlocker, uBlock, запрещённым Flash и DRM на win8 в виртуалке.

    есть 50 млн пользователей стокового FF на стоковой винде и есть несколько тысяч пользователей (если привязать это к IP, сразу станут единицы) с CanvasBlocker, uBlock, запрещённым Flash и DRM на win8 в виртуалке. Интересно, как же он тебя определил...

     
     
  • 6.29, barmaglot (??), 09:04, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > единицы) с CanvasBlocker, uBlock, запрещённым Flash и DRM на win8 в виртуалке. Интересно, как же он тебя определил...

    Ага, совсем никакого намёка на ответ :D

     
  • 3.7, Аноним (7), 23:35, 04/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >У меня это сработало даже на разных профилях в FF на одной и той же виртуалке через день.

    Это очень странно. Не имеет смысла использовать фингерпринтинг для пугания пользователя такими трюками.

     
     
  • 4.11, кельвин (?), 00:30, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    а это и не совсем фингерпринтинг.. это весьма дешёвый трюк определяющий всех анонимов с определённой подсети как одного пользователя.. когда все анонимы подсети оказываются одним человеком складывается впечатление что мы его как-то запомнили..
     
     
  • 5.27, проходил мимо (?), 07:27, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    нулевой имей
     
  • 3.12, тоже Аноним (ok), 00:53, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Открыл приватную вкладку, транслейт. Языки: авто - русский.
    Переключил русский - хинди, перевел фразу, закрыл приватную вкладку.
    Новая вкладка, транслейт. Языки: авто - русский.
    ФФ, АдБлок, Убунту.
    Ищите проблему на вашей стороне.

    Вот на айпаде мне Гугль в тамошнем КакБыХроме запоминал каждый запрос к Гуглю и потом выводил его в подсказку, это да. Даже если запрос был сделан в приватном окошке.

     
  • 3.19, Растобой (?), 03:49, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не сработало. Даже без закрытия браузера всё равно не запомнил выбранные языки (испанский - английский).
     
  • 2.3, xm (ok), 23:06, 04/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Метаданные из свойств браузера с привязкой к IP.
     
  • 2.10, хотел спросить (?), 00:17, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    элементарно хранить дополнительный ключик в localStorage
    берем какую-нибудь производную от него и от пришедшего в хидерах nonce
    и шлем в хидерах обратно
    варианта дофига.. главное не лажануть с реализацией

     

  • 1.5, Аноним (5), 23:19, 04/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Пожарный поезд сгорел.
     
     
  • 2.8, тоже Аноним (ok), 00:07, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    В ситуации нет ничего необычного. Nobody's perfect. No silver bullet.
    Эксперты просто могут профессиональнее обнаружить и исправить косяки.
    В том числе и свои собственные.
     

  • 1.13, Аноним (13), 00:58, 05/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    хорошо что он эту сессию какому то ламеру отправил а не куда то где бы оно реально пригодилось)
     
     
  • 2.18, Аноним (18), 03:09, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > какому то ламеру

    Подгорает, что получил двадцатку тысяч не ты, а кто-то дургой?

     
     
  • 3.21, Аноним (13), 05:48, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    ты не понял о чем я просто наверное, я про ситуацию говарю, мне вобще фиолетово на эти двацатки считай мало иннтересно
     
  • 2.37, CrazyAlex (?), 14:11, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Наоборот, так не интересно. Хотя о других ситуациях мы бы вряд ли узнали.
     

  • 1.14, n1rdeks (ok), 01:02, 05/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    так откупились за 20000. Дёшево. И, конечно, никак не проверить, что раньше не пересылалось подобное. "Утверждают", ну-ну.
     
     
  • 2.39, Андрей (??), 17:43, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Менеджеры в банках миллионы бонусом получают. А тут столько на кону стояло, а бонус - копейки.
     

  • 1.15, jOKer (ok), 01:12, 05/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    У кидди чуть не случился большой праздник. Почти фестиваль)

    Будь этот "исследователь" слегка менее принципиальным и порядочным, и кому-то бы настал большой кирдык. Внезапно. Например, Пентагону, который значится среди /постоянных?/ клиентов)) Ну, и ХакерВан уж точно получил бы апперкот по репутации.

     
     
  • 2.26, Аноним (26), 07:21, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >  слегка менее принципиальным и порядочным

    ... А не в этом ли суть, быть порядочным и принципиальным? Я рад, что так получилось, это правильное поведение.

     
     
  • 3.30, Аноним (30), 10:25, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Трусость, из которой человек придумал вежливость, нужна только для того, чтобы люди друг друга не поубивали. Если нет угрозы жизни - незачем быть порядочным и принципиальным
     
     
  • 4.40, Аноним (40), 08:15, 06/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >  нет угрозы жизни - незачем быть порядочным и принципиальным

    психология гопника в одном предложении.

    На самом деле есть достаточно причин, чтобы быть порядочным и принципиальным, первая из которых - не чувствовать постоянную угрозу жизни среди себе подобных.

     
     
  • 5.42, Урри (?), 12:10, 06/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > психология гопника в одном предложении.

    Антрополог Дробышевский утверждает, что наш общий предок был более похож на человека, чем на обезьяну. В частности, почти не имел выделяющихся клыков и вел себя не агрессивно.

    Вывод: неагрессивность - признак человека. "Гопническое" поведение - признак обезьяны.

     
  • 5.46, jOKer (ok), 23:49, 06/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >>  нет угрозы жизни - незачем быть порядочным и принципиальным
    > психология гопника в одном предложении.
    > На самом деле есть достаточно причин, чтобы быть порядочным и принципиальным, первая
    > из которых - не чувствовать постоянную угрозу жизни среди себе подобных.

    Психология интеллигента в одном предложении. А между тем, только винтовка рождает власть, и только те, кто не бояться грабить банки, становятся царями всея Руси.


    Малшик, ты можешь себе воображать все что угодно, но если ты не знаешь что делать, - ты стоишь на месте. А некоторые из тех, кого ты обозвал "гопники", они, на твоем месте, делают шаг вперед.... и становятся царями. И делают Революции. И кроят Историю. А ты в это время будешь сидеть и скулить: "Варвара, волчица....", и думать "А может все так и надо? И великое предназначение интеллигенции...." В этом между вами разница.

     
     
  • 6.47, Аноним (40), 12:16, 07/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Малшик, ты можешь себе воображать все что угодно

    ну ну ну, зачем так в позу вставать. Я уже понял что ты - "пролетарий".
    Я не интеллигент, а скорее буржуин со своей компанией за бугром.

    > и становятся царями. И делают Революции. И кроят Историю

    Кстати, об царях и истории: https://www.bitchute.com/video/9NDTj4oHPHKe/

    Для того, чтобы "кроить историю" не нужно обладать высокими моральными качествами,
    а вот для того, чтобы построить цивилизацию - пожалуй.

    Впрочем, оставайтесь пожалуйста при своём мнении, оно очень важно для нас.

     
  • 4.44, Аноним (44), 22:38, 06/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Гопнек не гопнек,но не раз замечал людей которым в кайф трахать мозг другим культурным людям. А именно злоупотреблять доверием, нависать, итд-итп, вот все такие на будте любезны, спасибо-пожалуйста, а по факту эти хитрожопые финтифлюшки сами гопники и есть, насилие это не только: Э, слы ты!сюда быра!ща в глаз! Таким только обозначишь что способен послать, сразу масочки свои кислые скидывают и под корягу недовольно квакать, типа фи как никультурна, а тут же просто не прокатило..
     
     
  • 5.48, Аноним (40), 12:30, 07/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Гопники - лишь яркий пример слабого умственного развития, есть и другие примеры, когда люди не понимают, что заботиться о тех, кто рядом выгоднее, чем вытирать о них ноги и однажды проснуться с ножом в спине.
     
  • 4.45, jOKer (ok), 23:44, 06/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Есть конечно нюансы... но в целом.... в целом, не поспоришь!
     

  • 1.16, Аноним (16), 01:37, 05/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >атака
    >сами потеряли куку
    >атака

    люди, да что с вами не так?

     
     
  • 2.25, Аноним (26), 07:18, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > сами допустили переполнение буфера
    > сами не поставили автоматчиков у дверей
    > сами родились

    всё так

     

  • 1.17, qsdg (ok), 02:01, 05/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Лол, HackerOne не может даже XSRF защиту реализовать. Во всех нормальных веб-фреймворках есть.
     
     
  • 2.31, Аноним (30), 10:26, 05/12/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > нормальных веб-фреймворках

    на стенку себе повешу

     

  • 1.20, Аноним (20), 05:08, 05/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На его месте должен быть я!
     
  • 1.23, Тфьу (?), 06:12, 05/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Лол. Сапожник в сапогах, но сапоги без подошвы.
     
  • 1.24, Аноним (26), 07:17, 05/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "Хакер и солонка", бесконечная франшиза
     
  • 1.28, Аноним (28), 07:54, 05/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    очередная победа вэб-технологий
     
  • 1.32, InuYasha (?), 11:33, 05/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    20K и звание "исследователя" - чтобы тот не побежал раздавать увиденные "5%" на хакерских форумах? :)

    Такой себе "взлом". :-/

     
  • 1.36, Аноним (36), 13:20, 05/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > реализована привязка сессионного ключа к IP-адресу

    Ну блин...

    > В дальнейшем привязку к IP планируют заменить на привязку к устройствам пользователя, так как привязка к IP неудобна для пользователей с динамически выдаваемыми адресами.

    А, ну ок. А то с мобилки и вайфаев всяких подофигеешь перелогиниваться.

    Кроче IP - мера временная, по горячим следам. Тада ок.

     
  • 1.38, Аноним (38), 16:03, 05/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > реализована привязка сессионного ключа к IP-адресу и фильтрация сессионных ключей и токенов аутентификации в комментариях. В дальнейшем привязку к IP планируют заменить на привязку к устройствам пользователя,

    Искусственно созданная проблема, для того чтобы снять телеметрию с пользователей.

     
  • 1.41, Аноним (41), 08:20, 06/12/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не понял что он там консольной утилитой делал на своем сайте? Или там виртуальная мышина для тестов уяхвимостей через http отчеты выплевывает, которые он кописпастил?
     
     
  • 2.43, Арчевод (?), 15:06, 06/12/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я вот тоже не очень понял, что это за "аналитик", который тестирует какие-то методики взлома в основной браузерной сессии.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру