Games-code.ru

  • Home
  • Новости
  • Platforms
    • PC Mobile PS4 Xbox Wii U
  • Железный свежак
    • Железный свежак

      Краткий обзор набора Aerocool P7-F12 Pro. Три вертушки,…

      13.03.2020

      Железный свежак

      Обзор SSD GOODRAM IRDM PRO Gen. 2 256…

      07.03.2020

      Железный свежак

      Обзор корпуса для ПК Vinga Ark – Флагман…

      03.03.2020

      Железный свежак

      Обзор NVMe SSD-накопителя WD Black SN750 500GB с…

      26.02.2020

      Железный свежак

      Обзор NVMe-накопителя Apacer AS2280P4 480 ГБ

      24.02.2020

      Железный свежак

      Обзор монитора Philips 326M6VJRMB — 32″, 4K, HDR,…

      10.02.2020

  • Прохождения
    • Прохождения

      Final Fantasy VII Remake: Прохождение всех побочных заданий

      05.05.2020

      Прохождения

      Resident Evil 3: Прохождение

      07.04.2020

      Прохождения

      Doom Eternal: Прохождение

      31.03.2020

      Прохождения

      Nioh 2: Прохождение всех боссов

      24.03.2020

      Прохождения

      Ori and the Will of the Wisps: Прохождение…

      17.03.2020

      Прохождения

      Zombie Army 4: Dead War: Прохождение

      18.02.2020

  • Обзоры
Games-code.ru
Софт

Известная ИБ-компания случайно распахнула хакерам дверь к собственной ИТ-инфраструктуре

by super_user07.12.201907.12.2019053
Share0

Известная ИБ-компания случайно распахнула хакерам дверь к собственной ИТ-инфраструктуре

Промах сотрудника HackerOne

Платформа для поиска
уязвимостей HackerOne претерпела непродолжительную компрометацию
своей инфраструктуры, причиной которой стала ошибка сотрудника самой компании.

Инцидент возник в
результате того, что один из аналитиков HackerOne при переписке с
исследователем под ником haxta4ok00
скопировал из консоли браузера и переслал команду cURL,
забыв убрать из нее действительный сессионный cookie-файл,
который позволял любому читать и даже частично менять данные на платформе.

Исследователь haxta4ok00
впоследствии написал на форуме HackerOne, что ему предоставили
доступ к внутренним системам платформы, и что он может это доказать. По
некоторым сведениям, он получил доступ к чужим сообщениям о найденных ошибках в
ПО. Сотрудники HackerOne обнулили сессию через два часа после этого
сообщения.

Согласно официальным
пояснениям HackerOne, cookie-файлы сессии
привязаны к конкретному приложению, в данном случае hackerone.com.
«Приложение не блокирует доступ, когда cookie той же сессии повторно
используется по другому адресу, — говорится в публикации HackerOne. — На этот
риск было решено идти сознательно. Поскольку многие пользователи HackerOne
используют мобильные соединения и прокси, блокирование доступа снизило бы
качество их взаимодействия с платформой».

Ошибка аналитика платформы HackerOne привела к ее компрометации

Между тем haaxta4ok00
получил вознаграждение в $20 тыс. за то, что проинформировал платформу о
существовавшей проблеме.

Это притом, что он вполне
мог получить вместо награды перманентный бан — по некоторым данным, он
некоторое время «погулял» по внутренним системам платформы. Однако за
отсутствием намерения причинить вред (и самого вреда) компания решила выплатить
полагающиеся эксперту деньги.

Работа над ошибками

Сейчас платформа
пересматривает свой подход к безопасности и вводит дополнительные меры по
защите. Уже реализованы привязка сессий к IP-адресам,
технические меры фильтрации «чувствительной информации», таких как сессионных
файлов cookie и токенов для авторизации; планируется
поменять процедуру входа в систему и привязать сессии к конкретным устройствам.
В дальнейшем планируется изменить модель выдачи разрешения аналитикам внутри самой
компании и расширить образовательные мероприятия для сотрудников HackerOne и
сторонних экспертов.

«Возникает в общем-то
закономерный вопрос, почему подобное стало возможным, особенно ввиду назначения
платформы HackerOne, и почему анонсированные защитные меры не
были применены раньше, — говорит Алексей
Водясов
, эксперт по информационной безопасности компании SECConsultServices.
— Для специалистов по информационной безопасности подобные инциденты — повод
усомниться в компетентности и безопасности операторов платформы, даже если это
личная ошибка одного из ее рядовых работников».

2019-12-07 14:24:31

Источник

Share0
previous post
Новогодние горелые, робот-сантатрон и рождественские испытания — подробности о праздничном обновлении Fallout 76
next post
Развитие карточной The Elder Scrolls: Legends остановлено
super_user

Related posts

«Ростех» просит 36 миллиардов на развитие российского блокчейна

super_user25.02.202025.02.2020

Разработчики Ubuntu впервые за 16 лет вышли на самоокупаемость

super_user01.05.2020

Сбербанк втайне строит «виртуальный сейф» для электронных документов

super_user16.06.2019

Leave a Comment Cancel Reply

Save my name, email, and website in this browser for the next time I comment.

Свежие записи

  • Разработчики знаменитых Linux-дистрибутивов готовят бойкот Google из-за его драконовских правил
  • Закрыт старейший в мире сайт с залежами компьютерных программ. Он был старше «Яндекса» и Google
  • Искусственный интеллект Microsoft превзошел людей в понимании человеческой речи
  • Из ядра Linux исчезнет поддержка старых процессоров
  • Huawei выпускает собственный браузер для ПК, чтобы конкурировать с Google Chrome

Свежие комментарии

    Архивы

    • Январь 2021
    • Декабрь 2020
    • Ноябрь 2020
    • Октябрь 2020
    • Сентябрь 2020
    • Август 2020
    • Июль 2020
    • Июнь 2020
    • Май 2020
    • Апрель 2020
    • Март 2020
    • Февраль 2020
    • Январь 2020
    • Декабрь 2019
    • Ноябрь 2019
    • Октябрь 2019
    • Сентябрь 2019
    • Август 2019
    • Июль 2019
    • Июнь 2019
    • Май 2019
    • Апрель 2019
    • Март 2019

    Рубрики

    • Железный свежак
    • Киберспорт
    • Новости
    • Прохождения
    • Софт

    Мета

    • Войти
    • RSS записей
    • RSS комментариев
    • WordPress.org

    Recent posts

    Обновление поломало интернет в Windows 10. Как его починить

    super_user28.03.2020
    28.03.20200

    Саундтрек Hollow Knight выпустят в виде альбома аранжировок...

    super_user26.11.201926.11.2019
    26.11.201926.11.20190

    И целой Diablo IV мало — анонс Path...

    super_user16.11.201916.11.2019
    16.11.201916.11.20190

    Новые ролики о Death Stranding — брифинг на...

    super_user12.09.201912.09.2019
    12.09.201912.09.20190

    Popular posts

    Разработчики знаменитых Linux-дистрибутивов готовят бойкот Google из-за его...

    super_user24.01.202124.01.2021
    24.01.202124.01.2021

    Закрыт старейший в мире сайт с залежами компьютерных...

    super_user22.01.202122.01.2021
    22.01.202122.01.2021

    Искусственный интеллект Microsoft превзошел людей в понимании человеческой...

    super_user16.01.202116.01.2021
    16.01.202116.01.2021

    Из ядра Linux исчезнет поддержка старых процессоров

    super_user14.01.2021
    14.01.2021

    Huawei выпускает собственный браузер для ПК, чтобы конкурировать...

    super_user12.01.2021
    12.01.2021

    LG выпустила систему webOS 6.0 для смарт-телевизоров

    super_user10.01.2021
    10.01.2021

    Рубрики

    • Железный свежак (83)
    • Киберспорт (7)
    • Новости (767)
    • Прохождения (24)
    • Софт (274)

    Banner spot

    Newsletter

    Subscribe my Newsletter for new blog posts, tips & new photos. Let's stay updated!

    Games-code.ru
    About US
    Свежие новости игрового мира, обзоры железа и выбор софта. Раздел мобильных гаджетов и всего что с ними связано. Только лучшие обзоры и прохождения самых популярных игр всех жанров. Все это и многое другое у нас.
    Contact us: admin@games-code.ru
    Follow us
    FacebookTwitterInstagramPinterestGoogleBehanceYoutube
    @2019 - games-code.ru. All Right Reserved.
    Games-code.ru
    FacebookTwitterInstagramPinterestGoogleBehanceYoutube
    • Home
    • Новости
    • Platforms
      • PC
      • Mobile
      • PS4
      • Xbox
      • Wii U
    • Железный свежак
    • Прохождения
    • Обзоры