La plateforme de correction de bogues HackerOne a versé une prime de 20,000 4 € à un pirate tiers après lui avoir accidentellement donné la possibilité de lire et de modifier certains des rapports de bogues de ses clients. Tout a commencé lorsqu'un inconnu, membre de la communauté HackerOne qui a montré qu'il recherchait des vulnérabilités, a contacté l'un des analystes de sécurité de l'entreprise. L'analyste HackerOne a envoyé à l'utilisateur, à l'aide du descripteur haxta00ok4, des éléments d'une commande cURL. Cependant, la commande cURL envoyée par l'analyste incluait par erreur un cookie de session valide qui pouvait être utilisé par quiconque en était propriétaire pour lire et même modifier partiellement les données auxquelles l'analyste avait accès. Heureusement, HackerOne a pu révoquer rapidement le cookie de session deux heures seulement après que haxta00okXNUMX a signalé la violation pour la première fois.
Violation de données
HackerOne ne dit pas pour le moment combien de données l'erreur de l'analyste de la sécurité a révélées. Cependant, dans un rapport d'incident récemment publié, la société a déclaré que tous les clients concernés avaient déjà été informés en privé. Le rapport a également révélé que les données présentées se limitaient aux rapports auxquels l'analyste de la sécurité avait accès. Cependant, la divulgation ne fournit même pas d'indices sur le nombre de clients ou la quantité de données concernées. Un jour après l'incident, le co-fondateur de HackerOne, Jobert Abma, a écrit à haxta4ok00 : "Il s'est passé quelque chose dont nous ne vous avons pas encore parlé. Nous n'avons pas jugé nécessaire d'ouvrir tous les rapports et toutes les pages pour valider l'accès à votre compte. Pourriez-vous nous expliquer pourquoi vous nous avez fait cela ? , qui a répondu : "C'est devenu un incident majeur en raison de la quantité de données auxquelles vous avez accédé, et non parce que cela s'est produit en premier lieu. Haxta4ok00 a tout de même reçu un bonus de 4 00 € pour sa découverte, tout en apprenant la précieuse leçon que ce n'est pas parce que des fichiers étaient accessibles par accident qu'il faut les ouvrir. Via Ars Technica