Cookie泄露导致的帐户接管——20000美金 安全资讯

信息发布员 9月前 103

近期,HackerOne安全研究人员无意中泄露出自己的会话cookie,导致外界用户可直接看到研究人员的秘密安全报告。

       一名HackerOne研究人员和漏洞提交者(普通用户)正就一份漏洞悬赏报告进行讨论。研究人员直接从浏览器控制台复制了一个cURL命令,将其发给用户,但忘记删除其中的敏感信息。

       这导致HackerOne研究人员的cookie被他人知晓。值得一提的是,这个会话cookie是HackerOne工作人员通过多因素单点登录(SSO)后而获得的,可进行多个敏感操作,包括查看所有分析报告在内的各种敏感信息,甚至还可以看到一些非公开的漏洞悬赏项目的漏洞信息。

       通过HackerOne提供的HAS(Human-Augmented Signal)服务的收件箱、分类收件箱或某些邮箱特性,攻击者可以看到报告的标题以及有限的元数据,例如在使用报告视图功能时可以看到的报告内容。

       HAS邮箱在默认视图中最多加载25个报告,分类收件箱在用户界面中最多加载100个报告,而主收件箱在默认视图中最多加载25个报告。

       HackerOne对外表示:“所泄露的数据和HackerOne研究人员的访问权限有关,并不是所有HackerOne用户都受影响。如果我们确定你的数据有泄露的可能,就会发送单独的通知。”

       在检查了自己能接触到的数据后,意外得到cookie的那名用户于美国时间11月24日上午05:00向HackerOne报告了这一问题。两小时后,安全小组注意到了该报告,并于当天注销了这个cookie。

       在注销后,HackerOne开始集中于调查受影响的客户、数据,进行积极沟通,修复漏洞。一切都于2019年11月26日正式结束。

       这一安全事件的根源并不是HackerOne研究人员无意中的失误,因为任何人都可能犯错误。重点在于,HackerOne缺乏类似的情况的防御。事实上,这个由黑客驱动的漏洞悬赏平台在对cookie的安全性使用方面存在漏洞。

       最终,为了解决这个问题,HackerOne决定将用户的session和他的IP地址绑定(如果有人试图从另一个IP地址使用它,就将被注销)。同时对不同的国家也有不同的安全限制,这些措施并不会直接向用户说明。

       此外,HackerOne还对处理自身员工的安全事件的流程进行了修改,确保在相关事件发生时能立刻找到相关人员,对牵涉平台自身安全性的漏洞要最快速度处理。

       虽然HackerOne能通过GraphQL查询确定哪些报告被访问过,但还是计划改进数据访问信息的日志记录,以更快速地进行事件响应。

       根据HackerOne的说法,他们调查并没有发现其他研究人员存在类似的cookie泄漏问题。

       在正式确认了上报者所能获取信息后,该平台决定奖励2万美元。

       VERT的安全研究员Craig Young表示,自己已接到HackerOne发布的令人震惊的通知,已知道自己和其他研究人员的非公开报告已被泄露。

       虽然HackerOne的响应速度很快,但这一事件再次提醒人们,BugCrowd或HackerOne等进行漏洞整合服务的组织若存在安全风险,带来的威胁是难以估计的。

       此事过后,也许会有大量安全人员针对漏洞平台进行测试,一部分可能是为了高额的赏金,而另外一部分可能就是为了获取平台的漏洞报告。

原文地址: https://nosec.org/home/detail/3306.html


少客联盟- 版权声明 1、本主题所有言论和图片纯属会员个人意见,与少客联盟立场无关。
2、本站所有主题由该帖子作者发表,该帖子作者信息发布员少客联盟享有帖子相关版权。
3、少客联盟管理员和版主有权不事先通知发贴者而删除本文。
4、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者信息发布员少客联盟的同意。
5、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任。
6、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
7、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意。
8、官方反馈邮箱:chinasuc@chinasuc.cn


上一篇:Google Chrome 输入验证错误漏洞
下一篇:Airtel的移动应用程序漏洞暴露了3千万订户的数据
人生的价值,并不是用时间,而是用深度去衡量的。
最新回复 (0)
    • 少客联盟
      2
        登录 注册 QQ登录(停用)
返回