Bug赏金计划启动HakeroneInc.意外地给研究人员提供了读取和修改一些Bug报告的能力后,遭遇了安全漏洞。
这一事件的发生是因为Hackerone的一位与研究人员相对应的分析师提供了一个curl命令,错误地包含了一个有效的会话cookie。这使任何人都有能力访问和修改分析师可以访问的相同数据。
一位名叫haxta4ok00的研究人员在11月24日的HackerOne社区委员会上写道,Ars Technica今天首先注意到,他被允许进入社区,他也可以证明这一事实。HackerOne确实动作很快,在初始报告发布两小时零三分钟后,取消了对会话cookie的访问,但问题是它是如何开始的。
HackerOne的官方解释是,其安全分析师未能删除从泄露会话cookie的浏览器控制台复制的curl命令的部分内容。
HackerOne说:“会话cookie绑定到特定的应用程序,在本例中是hackerone.com。”“当会话cookie在另一个位置被重用时,应用程序不会阻止访问。这是已知的风险。由于HackerOne的许多用户通过移动连接和代理进行工作,封锁访问将降低这些用户的用户体验。“
公司现已对其安全程序作了修改。研究Cherhaxta4O00还支付了20000美元,用于查明和报告安全问题。
网络安全公司ImmuniWeb的创始人兼首席执行官伊利亚·科洛琴科(Ilia Kolochenko)对SiliconANGLE表示:“现在由HackerOne宣布的安全措施之所以没有实施,是非常令人惊讶的,因为其中一些措施具有根本性和不可缺少的性质。”其他纠正措施,“他补充说,也可能看起来有问题,例如阻止进入特定国家。
Kolochenko解释说:“鉴于HackerOne持续宣传多元化和国际化的人群智慧,安全研究人员可能至少会感到不舒服,甚至感到尴尬。””而且重要的是,老练的网络罪犯将最轻松地绕过这一措施。尽管如此,HackerOne对这一事件的迅速和透明的披露对其他人来说是一个值得称赞的例子,并再次提醒我们,人类是最薄弱的一环。”.
Tripwire Inc.的漏洞和暴露研究团队的计算机安全研究员克雷格·杨(Craig Young)称这一消息令人震惊。他指出,与此前披露的Bugzilla或谷歌问题追踪器(Google DiseaseTracker)内部披露的事件或弱点类似,曝光非公开HackerOne报告对所有互联网用户都是一种危险。
杨补充道:“虽然我赞扬HackerOne的回应,但这一事件再次提醒人们,通过使用BugCrowd或HackerOne之类的托管漏洞报告服务,组织承担了不同的风险。”“这些供应商整合了有价值的数据,为情报机构甚至犯罪分子提供了一个极具吸引力的攻击目标。”
通过我们的1-单击“订阅我们的YouTube频道”(下面)显示您对我们的任务的支持-我们拥有更多的用户,然后YouTube的算法将我们的内容推广到对#企业技术感兴趣的用户。
