La plateforme de tarification de bogues HackerOne a versé une prime de 20 000 USD à un pirate informatique extérieur après lui avoir accidentellement donné la possibilité de lire et de modifier certains rapports de bogues de ses clients.
Tout a commencé quand un étranger, membre de la communauté HackerOne qui a fait ses preuves dans la recherche de vulnérabilités, communiquait avec l'un des analystes de la sécurité de la société. L’analyste HackerOne a envoyé à l’utilisateur, qui utilise le descripteur haxta4ok00, des éléments d’une commande cURL.
Cependant, la commande cURL envoyée par l'analyste incluait par erreur un cookie de session valide pouvant être utilisé par quiconque le possédait pour lire et même modifier partiellement toutes les données auxquelles l'analyste avait accès.
Heureusement, HackerOne a été en mesure de révoquer rapidement le cookie de session deux heures à peine après que haxta4ok00 a signalé pour la première fois la violation.
Sommaire
Données exposées
HackerOne ne dit pas pour le moment combien de données ont été révélées par l'erreur de l'analyste de sécurité. Dans une publication récente rapport d'incident cependant, la société a déclaré que tous les clients concernés ont déjà été notifiés en privé.
Le rapport a également révélé que les données exposées étaient limitées aux rapports auxquels l'analyste de sécurité avait accès. Toutefois, la divulgation ne fournit même pas d'indices sur le nombre de clients ou la quantité de données affectées. Un jour après l'incident, le cofondateur de HackerOne, Jobert Abma, a écrit à haxta4ok00:
“Quelque chose est arrivé que nous ne vous avions pas encore demandé. Nous n’avons pas jugé nécessaire d’avoir ouvert tous les rapports et toutes les pages afin de valider votre accès au compte. Pourriez-vous nous expliquer pourquoi vous nous l'avez fait?
Haxta4ok00 a répondu à cette question en déclarant qu'il avait ouvert tous les rapports et pages afin de "montrer l'impact" et qu'il n'avait pas l'intention de nuire à HackerOne ni à ses clients. Cette explication ne suffisait pas pour Abma qui a répondu: «Cela est devenu un incident plus important en raison de la quantité de données à laquelle vous avez accédé, pas parce que cela s’est passé en premier lieu.
Haxta4ok00 a tout de même reçu une prime de 20 000 USD pour sa découverte, tout en apprenant la précieuse leçon que le simple fait que des fichiers aient été rendus accessibles par accident ne signifie pas que vous devriez les ouvrir.
Via Ars Technica
