Hacker Hacks Hacking Platform, erhält 20.000 $ bezahlt
Im August 2019 berichtete ich, wie sechs
Hacking-Millionäre auf der HackerOne-Bugs-Bounty-Plattform ihr kleines Vermögen verdient hatten. Insgesamt wurden mehr als 23 Millionen US-Dollar (17,5 Millionen Pfund) an Mitglieder der eine halbe Million starken Hacker-Community ausgezahlt.
Hacking-Millionäre auf der HackerOne-Bugs-Bounty-Plattform ihr kleines Vermögen verdient hatten. Insgesamt wurden mehr als 23 Millionen US-Dollar (17,5 Millionen Pfund) an Mitglieder der eine halbe Million starken Hacker-Community ausgezahlt.
HackerOne fungiert als Verbindung zwischen ethischen Hackern, die nach Sicherheitslücken suchen, und Organisationen wie General Motors, Goldman Sachs, Google, Microsoft, Twitter und sogar dem US-Pentagon, die diese Sicherheitslücken schließen möchten, bevor böswillige Bedrohungsakteure sie ausnutzen können . Es wurde nun bekannt, dass einer der auf der Plattform registrierten Hacker ein wenig "off-piste" ging und stattdessen HackerOne hackte.
Diesem Hacker wurden 20.000 USD (15.250 GBP) gezahlt. von HackerOne.
So hat sich dieses ungewöhnliche "Hackventure" entwickelt.
Wie wurde HackerOne gehackt und wer war der Hacker
Ein Hacker und ein Mitglied der HackerOne-Community namens haxta4ok00 haben am 24. November einen Bericht auf der Bug-Bounty-Plattform veröffentlicht, in dem es heißt: "Ich kann alle Berichte lesen @security and more program." Der Hacker enthüllte in gebrochenem Englisch etwas sehr beunruhigendes. Sie hatten nämlich auf ein Konto eines HackerOne-Sicherheitsanalysten zugegriffen und konnten dadurch vertrauliche Informationen lesen.
Am 25. November bestätigte Jobert Abma, ein Mitbegründer von HackerOne, als Antwort auf haxta4ok00, dass ein Angreifer keine Authentifizierungsrechte benötigt, um die Sicherheitsanfälligkeit auszunutzen, und dass er über eine "hohe" CVSS-Bewertung (Common Vulnerability Scoring System) verfügt.
Am 25. November bestätigte Jobert Abma, ein Mitbegründer von HackerOne, als Antwort auf haxta4ok00, dass ein Angreifer keine Authentifizierungsrechte benötigt, um die Sicherheitsanfälligkeit auszunutzen, und dass er über eine "hohe" CVSS-Bewertung (Common Vulnerability Scoring System) verfügt.
Wie so oft bei der Sicherheit kommt es auf die kleinen Details an.
Das kleine Detail hier ist, dass ein HackerOne-Sicherheitsanalytiker eine URL ausgeschnitten und eingefügt hat, während er mit dem Hacker über eine Einreichung beim Bug Bounty-Programm kommuniziert hat. Um für einen Moment technisch zu werden, war es eigentlich eine Client-URL (cURL), die als Befehlszeilentool verwendet wird und Daten ohne Benutzerinteraktion übertragen kann.
Jedenfalls enthielt diese cURL die Sitzungscookiedetails des Mitarbeiters. Mit dieser temporären Cookie-Datei, die beim Schließen des Browsers gelöscht wird, kann der Benutzer durch eine Site navigieren, ohne sich bei jeder neuen Seite oder jedem neuen Abschnitt authentifizieren zu müssen. Dies bedeutete auch, dass haxta4ok00 dieselben Datensätze anzeigen konnte, auf die der angemeldete HackerOne-Analyst zugreifen konnte, ohne eine Authentifizierung bereitzustellen.
Dieses Sitzungscookie wurde zwei Stunden nach der Erstellung des Verstoßberichts widerrufen, sodass jeder neue nicht autorisierte Zugriff auf das Konto gesperrt wurde.
Am 26. November hat HackerOne den Sitzungen von Mitarbeitern und Analysten Beschränkungen hinzugefügt, sodass sie nur über die ursprüngliche IP-Adresse zugänglich sind, um ähnliche Vorfälle in Zukunft zu vermeiden.
Jedenfalls enthielt diese cURL die Sitzungscookiedetails des Mitarbeiters. Mit dieser temporären Cookie-Datei, die beim Schließen des Browsers gelöscht wird, kann der Benutzer durch eine Site navigieren, ohne sich bei jeder neuen Seite oder jedem neuen Abschnitt authentifizieren zu müssen. Dies bedeutete auch, dass haxta4ok00 dieselben Datensätze anzeigen konnte, auf die der angemeldete HackerOne-Analyst zugreifen konnte, ohne eine Authentifizierung bereitzustellen.
Dieses Sitzungscookie wurde zwei Stunden nach der Erstellung des Verstoßberichts widerrufen, sodass jeder neue nicht autorisierte Zugriff auf das Konto gesperrt wurde.
Am 26. November hat HackerOne den Sitzungen von Mitarbeitern und Analysten Beschränkungen hinzugefügt, sodass sie nur über die ursprüngliche IP-Adresse zugänglich sind, um ähnliche Vorfälle in Zukunft zu vermeiden.
Die Sicherheitsexpertenansicht des HackerOne-Hackers
Während ich HackerOne für ihre Antwort empfehle", sagte Craig Young, ein leitender Sicherheitsforscher bei Tripwire, "ist dieser Vorfall eine weitere Erinnerung an ein bestimmtes Risiko, das Unternehmen eingehen, wenn sie verwaltete Schwachstellen-Reporting-Dienste wie BugCrowd oder HackerOne nutzen." Überall dort, wo wertvolle Daten konsolidiert werden, wird, wie Young sagte, "ein äußerst attraktives Angriffsziel für Geheimdienste oder sogar kriminelle Akteure sein, um ihr Arsenal zu füllen."
Ilia Kolochenko, CEO von ImmuniWeb, sagte, es sei "ziemlich überraschend, dass die Sicherheitsmaßnahmen, die jetzt von HackerOne angekündigt wurden, zuvor nicht umgesetzt wurden, da einige von ihnen grundlegender und unverzichtbarer Natur sind." Kolochenko lobte HackerOne jedoch auch für die "schnelle und transparente Aufdeckung des Vorfalls", die er sagte, "die anderen als lobenswertes Beispiel dient und uns erneut daran erinnert, dass Menschen das schwächste Glied sind."
0 Comments