Como plataforma líder de informes de vulnerabilidades, HackerOne ha pagado a los piratas informáticos más de $ 23 millones en nombre de más de 100 clientes, incluidos Twitter, Slack y el Pentágono de EE. UU. La posición de la empresa también le da acceso a cantidades inimaginables de datos confidenciales. Ahora, la compañía pagó una recompensa de $20,000 de su propio bolsillo después de que accidentalmente le dio a un pirata informático externo la capacidad de leer y modificar algunos informes de errores de los clientes.
El forastero, un miembro de la comunidad de HackerOne que tenía un historial comprobado de detección e informe privado de vulnerabilidades a través de la plataforma, se había estado comunicando a fines del mes pasado con uno de los analistas de seguridad de la compañía. En un mensaje, el analista de HackerOne envió al miembro de la comunidad partes de un comando cURL que incluía por error una cookie de sesión válida que otorgaba a cualquiera que la poseyera la capacidad de leer y modificar parcialmente los datos a los que tenía acceso el analista.
“HackerOneStaff Access”, escribió el miembro de la comunidad haxta4ok00 en un inglés entrecortado el 24 de noviembre. “Puedo leer todos los informes @security y más programas”. En un mensaje de seguimiento, haxta4ok00 escribió: «Encontré lo que puedes editar programa privado (para prueba) No he cambiado nada y no lo he usado, todo por el bien de la piratería». El mismo día, el pirata informático hizo un seguimiento nuevamente y escribió: «Si necesita una prueba, puedo escribir un mensaje [redacted].”
HackerOne revocó la cookie de sesión a las 7:11 a. m., hora del Pacífico, exactamente dos horas y tres minutos después de que haxta4ok00 informara sobre la infracción. El equipo de respuesta a incidentes de la compañía se dispuso a investigar qué sucedió y cuánto daño se había hecho.
Evaluación de daños
HackerOne no dice con precisión cuántos datos fueron expuestos. Un informe de incidentes que la compañía publicó el martes decía que todos los clientes afectados ya habían sido notificados en privado. El informe del martes también decía que los datos se limitaban a los informes a los que tenía acceso el analista de seguridad, pero la divulgación no proporciona ni siquiera una estimación aproximada de cuántos clientes o cuántos datos se vieron afectados. Sin embargo, el informe y una transcripción adjunta de las comunicaciones de HackerOne con haxta4ok00 sugieren que la exposición no fue trivial.
“Surgió algo que aún no le habíamos preguntado”, le escribió el cofundador de HackerOne, Jobert Abma, al hacker un día después del incidente. “No consideramos necesario que hayas abierto todos los informes y páginas para validar que tenías acceso a la cuenta. ¿Te importaría explicarnos por qué nos hiciste eso?
El comunero dijo que lo hizo para “mostrar el impacto” y que no pretendía hacer daño y denunció el acceso de inmediato. “No estaba seguro de que después de la sustitución del token fuera propietario de todos los derechos”, escribió. En un mensaje posterior, haxta4ok00 continuó escribiendo:
- Hace tres años mencioné tal ataque, pero era teórico y no me escucharon (aquí [report] #163381 Escribí en teoría encontrar esto en el futuro). Si esto ayudará, soy moderador sistémico en uno de los foros sobre seguridad. Y nos protegimos de tales ataques vinculando la sesión a la dirección IP en la entrada. También realizamos la autorización básica para el acceso a las secciones privadas. Quizás esto te ayude.
- Entiendo que vi datos que no deberían ser vistos, pero esto era solo un interés de piratería en los propósitos blancos, quería observar y mostrarles las consecuencias perjudiciales que esto puede generar (siempre me han enseñado a escribir el impacto total que puede ser) . Fue un hacking blanco feliz para mí.
- Por favor, no regañes a █████, es uno de los mejores empleados que ayudan a hackear uno.
Y disculpa si lo traduje mal, espero que me entiendas. Gracias @jobert de nuevo.
Abma respondió que “esto se convirtió en un incidente mayor debido a la cantidad de datos a los que accediste, no porque sucedió en primer lugar”.
También es revelador otro mensaje que envió Abma. Decía:
Debido a la naturaleza de los datos a los que se podría haber accedido, es posible que se pueda acceder a sistemas distintos de hackerone.com. El alcance incluye cualquier activo del cliente debido a la información de vulnerabilidad a la que se podría haber accedido.
La transcripción y el informe también sugieren que la infracción le dio al intruso otras habilidades potencialmente más serias, incluido el pago de recompensas, la modificación de detalles del programa, la adición de usuarios y la suspensión de envíos de clientes. Haxta4ok00 aseguró a HackerOne que el hacker limitó el acceso a «solo lectura». En un correo electrónico, el director de seguridad de HackerOne, Reed Loden, dijo que los registros de la red también mostraron que no se intentaron cambios.
El pirata informático también aseguró a HackerOne que todas las capturas de pantalla, exportaciones, registros de proxy, historial del navegador y otros datos capturados durante el acceso no autorizado se eliminaron, aunque el pirata informático admitió que no había forma de probarlo.
Loden negó como «incorrecta» la afirmación hecha al principio del informe, que haxta4ok00 podía «leer todos los informes @security y más programas». Loden escribió:
El hacker podría acceder por un corto tiempo a un subconjunto limitado de informes de vulnerabilidad para programas de clientes permitidos por la cookie de sesión. La mayoría de los informes afectados solo tenían su título y metadatos limitados visibles. Una vez que se envía un informe, la descripción original no se puede modificar y confirmamos mediante registros que no se intentaron cambios en los informes. Esto también fue confirmado por el hacker.
Se negó a decir en megabytes o gigabytes a cuántos datos accedió haxta4ok00 o cuántos clientes se vieron afectados, aparte de decir que la violación «afectó a menos del 5% de los programas».
Loden también dijo que el ataque haxta4ok00 informado hace tres años fue un «escenario puramente teórico centrado en navegadores más antiguos que no eran, y aún no son, compatibles con la Plataforma HackerOne». Loden dijo que el intercambio de cookies de sesión con miembros de la comunidad no se informó anteriormente.
Medidas preventivas
El informe pasó a detallar los pasos que ha tomado HackerOne para evitar infracciones similares en el futuro. Como sugirió haxta4ok00, un paso fue vincular las cookies de autenticación a la dirección IP del usuario al que se emitieron. El movimiento evita que las cookies sean reutilizadas por personas ajenas.
El informe del martes decía: «El cambio se implementó para los empleados de HackerOne (incluidos todos los analistas de seguridad de HackerOne) el 25 de noviembre de 2023». Sin embargo, un mensaje que Abma envió a haxta4ok00 el 26 de noviembre decía: «Estamos posponiendo el lanzamiento para todos los usuarios debido a que las personas tienen casos de uso legítimos para usar múltiples direcciones IP (por ejemplo, ISP con DHCP)».
Otras medidas a corto plazo incluyen bloquear el acceso desde países específicos y pasar de notificaciones a través de Slack a llamar a una persona de seguridad de guardia cuando se envían informes críticos. La empresa también ha implementado controles que detectan y eliminan automáticamente las cookies de sesión y otros datos confidenciales enviados en los comentarios. Otras medidas preventivas que HackerOne planea implementar incluyen agregar un nuevo registro de información sobre el acceso a datos, vincular sesiones a dispositivos específicos, mejorar la educación de los empleados y revisar el modelo de permisos de los analistas de seguridad.
No hay indicios de que alguno de los datos expuestos en la infracción se haya modificado, almacenado o transmitido a otras partes además de haxta4ok00. Aun así, el evento muestra los riesgos que corren las empresas cuando confían a un tercero algunos de sus secretos comerciales más sensibles.
Katie Moussouris, directora de políticas de HackerOne de 2023 a 2023, me dijo que dejó la empresa cuando comenzó un programa piloto que había encabezado para el Departamento de Defensa. Apodado Hack the Pentagon, no fue solo el primer programa federal de recompensas por errores. También fue la primera incursión de HackerOne en la clasificación de vulnerabilidades en nombre de un cliente.
Ahora, el CEO y fundador de Luta Security, una consultoría de vulnerabilidad que trabajó con HackerOne en el programa Hack the Pentagon, Moussouris dijo sobre HackerOne:
Nunca habían intentado clasificar a ningún cliente antes del Pentágono. Les advertí que sería increíblemente difícil encontrar mano de obra de triage en la que pudiéramos confiar. Y que la plataforma, tal como fue diseñada, necesitaría controles granulares mucho más estrictos en el back-end, para restringir el acceso por programa, especialmente si se utilizarían contratistas para realizar la clasificación.
Aconsejo a mis clientes que no subcontraten la clasificación para la divulgación de vulnerabilidades o los programas de recompensas por errores que están dirigidos a sistemas sensibles, ya que los contratistas suelen ser los que realizan la clasificación en estas plataformas administradas de recompensas por errores. [Customers] también debería corregir estos errores lo más rápido posible, ya que una amenaza interna de las plataformas de recompensas por errores, o un atacante externo que obtenga acceso, podría ver potencialmente un tesoro oculto de vulnerabilidades sin parchear almacenadas en estos sistemas.
Siento que todas las cosas sobre las que he estado advirtiendo sobre los riesgos de las implementaciones actuales de la plataforma de recompensas por errores en los últimos dos años están en este informe.
Por parte de HackerOne, Loden dijo que la resolución y la divulgación detallada del acceso no autorizado, una práctica que dijo que es estándar para cada evento de seguridad que afecta a la empresa, es una prueba del compromiso de HackerOne de proteger los secretos de sus clientes.
“Los incidentes de seguridad siempre existirán, y la forma en que responde una empresa puede ser más reveladora que la vulnerabilidad en sí misma”, escribió. “Nuestro objetivo es mostrar a la comunidad y a nuestros clientes a través de nuestras acciones los pasos que estamos tomando activamente para mejorar nuestra seguridad”.
