zhema
Опытный user
- Регистрация
- 19 Окт 2019
- Сообщения
- 130
- Реакции
- 1
Фирма HackerOne, владеющая одноименной платформой по поддержке программ награждения за обнаруженные уязвимости разных предприятий, оказалась вынуждена платить из своего счёта награду в 20 тысяч долларов после того, как случайно дала возможность стороннему исследователю читать и делать изменения в отчёты об уязвимостях некоторых её клиентов.
Утечка произошла из-за ошибки одного из аналитиков HackerOne, он при общении с одним из участников сообщества платформы, работающим под ником haxta4ok00, случайно передал в составе команды cURL действительный сессионный cookie-файл, дающий возможность любому пользователю читать и частично редактировать информацию.
Haxta4ok00 оповестил HackerOne об этом, через 2 часа фирма отозвала сессионный cookie и стала выяснять причины произошедшего. В официальном сообщении фирма заметила, что утечка ограничивается только информацией, к которой имел доступ её сотрудник, но не рассказала, о каком именно объёме информации идёт речь или сколько пользователей могла коснуться ошибка.
Однако, судя по переписке с haxta4ok00б, ситуация могла быть достаточно серьёзной, так как утечка давала третьей стороне многие потенциальные возможности, среди которых оплата наград за уязвимости, редактирование правил программы, добавлять участников и прочее.
Сам же haxta4ok00б заверил, что использовал доступ только для чтения и не делал каких-либо изменений. Его слова подтвердил руководитель отдела безопасности фирмы HackerOne Рид Лоден (Reed Loden). Ещё Haxta4ok00б подчеркнул, что удалил все скрины, логи прокси, историю браузера и прочую информацию, приобретённую в процессе неавторизованного доступа.
Лоден не сказал о числе пострадавших пользователей, но упомянул, что утечка коснулась меньше 5 процентов программ.
Утечка произошла из-за ошибки одного из аналитиков HackerOne, он при общении с одним из участников сообщества платформы, работающим под ником haxta4ok00, случайно передал в составе команды cURL действительный сессионный cookie-файл, дающий возможность любому пользователю читать и частично редактировать информацию.
Haxta4ok00 оповестил HackerOne об этом, через 2 часа фирма отозвала сессионный cookie и стала выяснять причины произошедшего. В официальном сообщении фирма заметила, что утечка ограничивается только информацией, к которой имел доступ её сотрудник, но не рассказала, о каком именно объёме информации идёт речь или сколько пользователей могла коснуться ошибка.
Однако, судя по переписке с haxta4ok00б, ситуация могла быть достаточно серьёзной, так как утечка давала третьей стороне многие потенциальные возможности, среди которых оплата наград за уязвимости, редактирование правил программы, добавлять участников и прочее.
Сам же haxta4ok00б заверил, что использовал доступ только для чтения и не делал каких-либо изменений. Его слова подтвердил руководитель отдела безопасности фирмы HackerOne Рид Лоден (Reed Loden). Ещё Haxta4ok00б подчеркнул, что удалил все скрины, логи прокси, историю браузера и прочую информацию, приобретённую в процессе неавторизованного доступа.
Лоден не сказал о числе пострадавших пользователей, но упомянул, что утечка коснулась меньше 5 процентов программ.
