通过Bug Bounty平台自己的Bug Bounty程序标记的帐户收购问题
在研究人员能够访问其他用户的漏洞报告后,本周Bug Bounty Platform Hackerone本周支付了20,000美元的赏金。
haxta4ok00,这是一位黑客社区成员,显然有发现在Bug Bounty平台中发现漏洞的记录,他与Hackerone的一位安全分析师进行了对话。
在一条消息中,分析师从浏览器控制台复制了curl命令,并将其发送给黑客。
分析师不小心包括一个有效的会话cookie,该会话能够读取他们可以访问的数据。这包括报告标题,一定量的元数据和一些报告内容。
“不到5%的黑客计划受到影响,在收到脆弱性报告的两个小时内,消除了风险,不久就采取了其他预防措施。”每日swbeplay2018官网ig。
“所有受影响的客户均在同一天通知。”
但是,由于周末的人员配备水平较低,因此花了两个小时才能阅读报告。
$ 20,000饼干
Haxta4ok00报道了11月24日被视为“关键”的漏洞。三天后,赏金获得了奖励。
“团队研究了该帐户本可以访问的敏感信息的数量,并在确定赏金数量时采取了建议。”事件报告。
“这导致决定将提交视为关键漏洞,并奖励20,000美元的赏金。”
Hackerone表示,这是进行审核的,这是Cookie会议泄露的第一次。
它还发布了一个更新,该更新将Hackerone员工和Hackerone安全分析师会话限制在他们开始会话的IP地址上 - 此举应在将来阻止类似的事件。
阅读《每日Swig》中更多最新的漏洞赏金新闻beplay2018官网
“We’re also planning to roll out a number of smaller changes, such as warning the user when a comment seems to contain sensitive information and clarification in our policy about what to do when someone gains access to other people their account,” explains HackerOne co-founder Jobert Abma.
Tripwire的高级安全研究员Craig Young是被告知他们的报告已被披露的人之一。
他说:“尽管我赞扬Hackerone的回应,但这一事件又提醒了组织通过使用托管漏洞报告服务(例如Bugcrowd或Hackerone)采取的明显风险。”
“此类供应商对有价值的数据的合并为情报机构(甚至犯罪分子)填补他们的武器库创造了一个极具吸引力的攻击目标。”
尽管也许以代表其他组织促进漏洞赏金支出而闻名,但Hackerone对脆弱性披露过程并不陌生。
自2013年11月上线以来,该组织拥有奖励超过330,000美元通过其自己的错误赏金计划。
