Известная ИБ-компания случайно распахнула хакерам дверь к собственной ИТ-инфраструктуре

Промах сотрудника HackerOne

Платформа для поиска
уязвимостей HackerOne претерпела непродолжительную компрометацию
своей инфраструктуры, причиной которой стала ошибка сотрудника самой компании.

Инцидент возник в
результате того, что один из аналитиков HackerOne при переписке с
исследователем под ником haxta4ok00
скопировал из консоли браузера и переслал команду cURL,
забыв убрать из нее действительный сессионный cookie-файл,
который позволял любому читать и даже частично менять данные на платформе.

Исследователь haxta4ok00
впоследствии написал на форуме HackerOne, что ему предоставили
доступ к внутренним системам платформы, и что он может это доказать. По
некоторым сведениям, он получил доступ к чужим сообщениям о найденных ошибках в
ПО. Сотрудники HackerOne обнулили сессию через два часа после этого
сообщения.

Согласно официальным
пояснениям HackerOne, cookie-файлы сессии
привязаны к конкретному приложению, в данном случае hackerone.com.
«Приложение не блокирует доступ, когда cookie той же сессии повторно
используется по другому адресу, — говорится в публикации HackerOne. — На этот
риск было решено идти сознательно. Поскольку многие пользователи HackerOne
используют мобильные соединения и прокси, блокирование доступа снизило бы
качество их взаимодействия с платформой».

Между тем haaxta4ok00
получил вознаграждение в $20 тыс. за то, что проинформировал платформу о
существовавшей проблеме.

Это притом, что он вполне
мог получить вместо награды перманентный бан — по некоторым данным, он
некоторое время «погулял» по внутренним системам платформы. Однако за
отсутствием намерения причинить вред (и самого вреда) компания решила выплатить
полагающиеся эксперту деньги.

Работа над ошибками

Сейчас платформа
пересматривает свой подход к безопасности и вводит дополнительные меры по
защите. Уже реализованы привязка сессий к IP-адресам,
технические меры фильтрации «чувствительной информации», таких как сессионных
файлов cookie и токенов для авторизации; планируется
поменять процедуру входа в систему и привязать сессии к конкретным устройствам.
В дальнейшем планируется изменить модель выдачи разрешения аналитикам внутри самой
компании и расширить образовательные мероприятия для сотрудников HackerOne и
сторонних экспертов.

«Возникает в общем-то
закономерный вопрос, почему подобное стало возможным, особенно ввиду назначения
платформы HackerOne, и почему анонсированные защитные меры не
были применены раньше, — говорит Алексей
Водясов, эксперт по информационной безопасности компании SECConsultServices.
— Для специалистов по информационной безопасности подобные инциденты — повод
усомниться в компетентности и безопасности операторов платформы, даже если это
личная ошибка одного из ее рядовых работников».