HackerOne ha otorgado $ 20,000 a un investigador que reveló una forma de acceder a informes privados de errores en la plataforma.
La ironía no se puede perder con la generosidad de los errores, ya que HackerOne es utilizado por una variedad de compañías, grandes y pequeñas, para aprovechar un grupo de investigadores y entusiastas de ciberseguridad para encontrar y revelar vulnerabilidades de manera responsable.
Este tipo de vulnerabilidad de crowdsourcing ha aumentado en popularidad en los últimos años, ya que las violaciones de datos ahora son un hecho cotidiano y las organizaciones se enfrentan a actores de amenazas que constantemente buscan formas de comprometer sitios world-wide-web, computer software y servicios en línea.
Sin embargo, los mismos errores que HackerOne ayuda a las empresas a encontrar y aplastar también pueden afectar este tipo de plataformas.
Esta semana, un informe se hizo público de un problema grave de cookies de sesión en HackerOne que podría usarse para adquisiciones de cuentas y acceso no autorizado a información privada.
Ver también: La plataforma de recompensas de errores HackerOne cierra una nueva ronda de financiación de $ 36.4 millones
Divulgado en privado por un cazarrecompensas de errores que se encuentra bajo el handle haxta4okay el 24 de noviembre, el pirata informático reveló que podían acceder a la cuenta HackerOne de un analista de seguridad.
El analista, un miembro del private de HackerOne, publicó su cookie de sesión accidentalmente, lo que le dio acceso a haxta4okay a su cuenta y acceso externo a informes de errores privados enviados por otros.
HackerOne dice que el «mistake humano» fue causado después de que el analista intentó replicar un envío realizado a la plataforma. El esfuerzo se hizo en vano, por lo que el analista se comunicó más con el pirata informático que informó el mistake en cuestión sin embargo, también expusieron su propia cookie de sesión válida en el proceso.
Parece ser un problema de cortar y pegar, como dice la plataforma durante este diálogo, «partes de un comando cURL, copiadas de la consola del navegador, no se eliminaron antes de publicarlo en el informe, revelando la cookie de sesión».
CNET: TikTok acusado de recopilar en secreto datos de usuarios y enviarlos a China
Debido a que la cookie estaba activa, todas las funciones de la plataforma a las que el analista podía acceder también estaban disponibles para el hacker externo, incluidos los informes de los clientes con los que el empleado estaba tratando y un Señal humana aumentada (HAS) bandeja de entrada que contiene informes que no estaban conectados a la clasificación estándar de HackerOne.
HackerOne tardó dos horas en responder al informe original, ya que la empresa fue notificada el domingo por la mañana.
«Para envíos críticos, el equipo de seguridad de HackerOne recibe automáticamente una notificación sobre Slack», dice la firma. «Esto funciona durante el horario comercial, pero no es confiable durante el fin de semana».
TechRepublic: Cómo proteger las computadoras que almacenan datos biométricos del malware
La cookie de sesión se revocó el mismo día, dos horas y tres minutos después de que HackerOne evaluara el informe. No se encontraron otras cookies activas durante una auditoría de comentarios lanzada por la organización para asegurarse de que no hubo otras filtraciones accidentales de cookies.
Se otorgó una recompensa de $ 20,000 por errores a haxta4ok por el problema crítico, dado su impacto en los datos y cuentas de clientes privados.
Los clientes cuya información period seen fueron notificados y HackerOne ahora ha restringido las sesiones de analistas a sus direcciones IP de origen, lo que podría mitigar problemas similares en el futuro.
Cobertura previa y relacionada
¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0
