近期,HackerOne安全研究人员无意中泄露出自己的会话cookie,导致外界用户可直接看到研究人员的秘密安全报告。
这件事发生在上周,当时一名HackerOne研究人员和漏洞提交者(普通用户)正就一份漏洞悬赏报告进行讨论。研究人员直接从浏览器控制台复制了一个cURL命令,将其发给用户,但忘记删除其中的敏感信息。
这导致HackerOne研究人员的cookie被他人知晓。值得一提的是,这个会话cookie是HackerOne工作人员通过多因素单点登录(SSO)后而获得的,可进行多个敏感操作,包括查看所有分析报告在内的各种敏感信息,甚至还可以看到一些非公开的漏洞悬赏项目的漏洞信息。
通过HackerOne提供的HAS(Human-Augmented Signal)服务的收件箱、分类收件箱或某些邮箱特性,攻击者可以看到报告的标题以及有限的元数据,例如在使用报告视图功能时可以看到的报告内容。
HAS邮箱在默认视图中最多加载25个报告,分类收件箱在用户界面中最多加载100个报告,而主收件箱在默认视图中最多加载25个报告。
HackerOne对外表示:“所泄露的数据和HackerOne研究人员的访问权限有关,并不是所有HackerOne用户都受影响。如果我们确定你的数据有泄露的可能,就会发送单独的通知。”
在检查了自己能接触到的数据后,意外得到cookie的那名用户于美国时间11月24日上午05:00向HackerOne报告了这一问题。两小时后,安全小组注意到了该报告,并于当天注销了这个cookie。
在注销后,HackerOne开始集中于调查受影响的客户、数据,进行积极沟通,修复漏洞。一切都于2019年11月26日正式结束。
这一安全事件的根源并不是HackerOne研究人员无意中的失误,因为任何人都可能犯错误。重点在于,HackerOne缺乏类似的情况的防御。事实上,这个由黑客驱动的漏洞悬赏平台在对cookie的安全性使用方面存在漏洞。
最终,为了解决这个问题,HackerOne决定将用户的session和他的IP地址绑定(如果有人试图从另一个IP地址使用它,就将被注销)。同时对不同的国家也有不同的安全限制,这些措施并不会直接向用户说明。
此外,HackerOne还对处理自身员工的安全事件的流程进行了修改,确保在相关事件发生时能立刻找到相关人员,对牵涉平台自身安全性的漏洞要最快速度处理。
虽然HackerOne能通过GraphQL查询确定哪些报告被访问过,但还是计划改进数据访问信息的日志记录,以更快速地进行事件响应。
根据HackerOne的说法,他们调查并没有发现其他研究人员存在类似的cookie泄漏问题。
在正式确认了上报者所能获取信息后,该平台决定奖励2万美元。该漏洞被评为高危,CVSS评分8.3。
VERT的安全研究员Craig Young表示,自己已接到HackerOne发布的令人震惊的通知,已知道自己和其他研究人员的非公开报告已被泄露。
虽然HackerOne的响应速度很快,但这一事件再次提醒人们,BugCrowd或HackerOne等进行漏洞整合服务的组织若存在安全风险,带来的威胁是难以估计的。
此事过后,也许会有大量安全人员针对漏洞平台进行测试,一部分可能是为了高额的赏金,而另外一部分可能就是为了获取平台的漏洞报告。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/3306.html 来源:https://www.securityweek.com/hacker-accessed-private-reports-hackerone
来源:freebuf.com 2019-12-05 16:51:49 by: 白帽汇
请登录后发表评论
注册