Gelekt cookie gaf hacker toegang tot bugmeldingen HackerOne
Een hacker heeft dankzij een gelekt session cookie toegang tot afgeschermde bugmeldingen op het platform HackerOne gekregen. HackerOne laat softwarebedrijven, overheden en andere organisaties een beloningsprogramma's voor onderzoekers organiseren en handelt de coördinatie tussen de bugmelder en de gecompromitteerde of kwetsbare partij af.
Op 24 november controleerde een security-analist van HackerOne een ingezonden bugmelding. Het lukte de analist niet om de bug te reproduceren, die dat vervolgens rapporteerde aan de hacker die het probleem had gemeld. In de communicatie met de hacker deelde de analist per ongeluk zijn session cookie. De hacker kon met dit cookie toegang krijgen tot de afgeschermde bugmeldingen waar ook de analist toegang toe had.
Normaliter moeten HackerOne-medewerkers via multifactor Single Sign-On (SSO) inloggen om een geldig session cookie te krijgen. Aangezien de medewerker al was ingelogd en het hier om een live session cookie ging, was de hacker door het gebruik van dit cookie meteen als medewerker ingelogd. Zodoende kon hij afgeschermde rapportages en bugmeldingen inzien.
HackerOne erkent dat de aanval mogelijk was omdat het geen maatregelen had genomen om het gebruik van iemands session cookie in een andere browser te beperken. De hacker in kwestie meldde aan HackerOne dat hij het medewerkersaccount via het gelekte session cookie kon overnemen. Daarop werd het cookie ingetrokken en alle getroffen klanten van wie de bugmeldingen toegankelijk waren gewaarschuwd. De hacker ontving voor zijn melding 20.000 dollar.
Naar aanleiding van het incident heeft HackerOne verschillende maatregelen genomen, zoals het koppelen van een session cookie aan een ip-adres en het blokkeren van sessies afkomstig van bepaalde landen. Binnenkort zal het bugbountyplatform sessies aan apparaten koppelen en de educatie van medewerkers verbeteren.
Oh ja, eigenlijk ging het erom dat iemand de deur open liet staan. Maar hee, een goed stuk sensatie is nooit weg natuurlijk.
Oh ja, eigenlijk ging het erom dat iemand de deur open liet staan. Maar hee, een goed stuk sensatie is nooit weg natuurlijk.
Dit is geen open deur. Als je het met deuren wilt vergelijken, dan betreft het hier tail gating.
En HackereOne heeft nu de deur zo ingesteld dat die eerder dichtgaat. En straks hebben ze een draaideur waar nog maar 1 persoon tegelijk doorheen kan.
En het is goed om dit publiek te maken. Er zijn nog steeds heel veel bedrijven/ontwikkelaars die wel met sessie cookies werken, maar ook geen maatregelen nemen tegen dit misbruik. Dit helpt ze hopelijk om wat beter na te denken bij het gebruik van die cookies.
Peter
Hoe gaat het overigens met die websites van een paar jaar terug met een pakkende naam, een logo, en een indentikit-design om een enkel exploit-gerelateerd "paper" (want als pdf, maar dat was het wel) te publiceren? Gaan ze die tot in lengte van dagen bijhouden of verdwijnen ze na een tijdje en de geleerde lessen mischien ook? En wat gaan ze de volgende keer doen, een themamuziekje erbij mischien? De volgende keer dat ze zoiets presenteren doen ze het in een mascottepak? Wat?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
