Платформа исправления ошибок HackerOne выплатила бонус в размере 20,000 4 евро стороннему хакеру после того, как случайно предоставила ему возможность читать и редактировать отчеты об ошибках некоторых клиентов. Все началось с того, что незнакомец, член сообщества HackerOne, показавший, что ищет уязвимости, связался с одним из аналитиков безопасности компании. Аналитик HackerOne отправил пользователю с помощью дескриптора haxta00ok4 элементы команды cURL. Однако команда cURL, отправленная аналитиком, по ошибке включала действительный файл cookie сеанса, который мог использоваться любым, кто им владел, для чтения и даже частичного изменения любых данных, к которым имел доступ аналитик. К счастью, HackerOne удалось быстро отозвать файл cookie сеанса всего через два часа после того, как haxta00okXNUMX впервые сообщил о взломе.
Нарушение данных
В настоящее время HackerOne не сообщает, сколько данных обнаружила ошибка аналитика безопасности. Однако в недавно опубликованном отчете об инциденте компания заявила, что все затронутые клиенты уже были уведомлены в частном порядке. Отчет также показал, что представленные данные были ограничены отчетами, к которым имел доступ аналитик безопасности. Однако раскрытие информации даже не дает сведений о количестве клиентов или объеме затронутых данных. На следующий день после инцидента соучредитель HackerOne Джоберт Абма написал haxta4ok00: «Произошло кое-что, о чем мы вас еще не спрашивали. Мы не считаем необходимым открывать все отчеты и страницы для подтверждения доступа к вашей учетной записи. Вы объясните, почему мы это сделали?» Haxta4ok00 ответил на этот вопрос, заявив, что он открыл все отчеты и страницы, чтобы «показать влияние», и что у него не было намерения причинить вред HackerOne или ее клиентам. Этого объяснения было недостаточно для Абмы. , который ответил: «Это стало серьезным инцидентом из-за количества данных, к которым он получил доступ, а не потому, что это произошло в первую очередь. Haxta4ok00 по-прежнему получил бонус в размере 20,000 XNUMX евро за свое открытие, но при этом усвоил ценный урок: если файлы были доступны случайно, это не означает, что вы должны их открывать. Виа Арс Техника