Разделы

ПО Безопасность Бизнес

Известная ИБ-компания случайно распахнула хакерам дверь к собственной ИТ-инфраструктуре

Сотрудник платформы для поиска уязвимостей в ПО непреднамеренно дал стороннему лицу возможность проникнуть во внутреннюю инфраструктурукомпании. HackerOne пересматривает свои подходы к безопасности.

Промах сотрудника HackerOne

Платформа для поиска уязвимостей HackerOne претерпела непродолжительную компрометацию своей инфраструктуры, причиной которой стала ошибка сотрудника самой компании.

Инцидент возник в результате того, что один из аналитиков HackerOne при переписке с исследователем под ником haxta4ok00 скопировал из консоли браузера и переслал команду cURL, забыв убрать из нее действительный сессионный cookie-файл, который позволял любому читать и даже частично менять данные на платформе.

Исследователь haxta4ok00 впоследствии написал на форуме HackerOne, что ему предоставили доступ к внутренним системам платформы, и что он может это доказать. По некоторым сведениям, он получил доступ к чужим сообщениям о найденных ошибках в ПО. Сотрудники HackerOne обнулили сессию через два часа после этого сообщения.

Согласно официальным пояснениям HackerOne, cookie-файлы сессии привязаны к конкретному приложению, в данном случае hackerone.com. «Приложение не блокирует доступ, когда cookie той же сессии повторно используется по другому адресу, — говорится в публикации HackerOne. — На этот риск было решено идти сознательно. Поскольку многие пользователи HackerOne используют мобильные соединения и прокси, блокирование доступа снизило бы качество их взаимодействия с платформой».

Ошибка аналитика платформы HackerOne привела к ее компрометации

Между тем haaxta4ok00 получил вознаграждение в $20 тыс. за то, что проинформировал платформу о существовавшей проблеме.

Это притом, что он вполне мог получить вместо награды перманентный бан — по некоторым данным, он некоторое время «погулял» по внутренним системам платформы. Однако за отсутствием намерения причинить вред (и самого вреда) компания решила выплатить полагающиеся эксперту деньги.

Работа над ошибками

Сейчас платформа пересматривает свой подход к безопасности и вводит дополнительные меры по защите. Уже реализованы привязка сессий к IP-адресам, технические меры фильтрации «чувствительной информации», таких как сессионных файлов cookie и токенов для авторизации; планируется поменять процедуру входа в систему и привязать сессии к конкретным устройствам. В дальнейшем планируется изменить модель выдачи разрешения аналитикам внутри самой компании и расширить образовательные мероприятия для сотрудников HackerOne и сторонних экспертов.

«Возникает в общем-то закономерный вопрос, почему подобное стало возможным, особенно ввиду назначения платформы HackerOne, и почему анонсированные защитные меры не были применены раньше, — говорит Алексей Водясов, эксперт по информационной безопасности компании SECConsultServices. — Для специалистов по информационной безопасности подобные инциденты — повод усомниться в компетентности и безопасности операторов платформы, даже если это личная ошибка одного из ее рядовых работников».

Роман Георгиев