Rebz
05.12.2019, 15:30
Наш супермодератор HAXTA4OK (https://antichat.live/members/79637/) получил мировое признание .
Ниже немного официоза по описанию событий:
Компания HackerOne, управляющая одноименной платформой по координации программ вознаграждения за найденные уязвимости различных компаний, была вынуждена выплатить из собственного кармана вознаграждение в $20 тыс. после того, как случайно предоставила стороннему исследователю возможность читать и вносить изменения в отчеты об уязвимостях некоторых ее клиентов.
Причиной утечки стала неосторожность одного из аналитиков HackerOne, который в переписке с одним из участников сообщества платформы, использующим псевдоним haxta4ok00, случайно передал в составе команды cURL действительный сессионный cookie-файл, позволявший любому читать и частично изменять данные.
Haxta4ok00 проинформировал HackerOne о проблеме, спустя два часа компания отозвала сессионный cookie и начала выяснять причины произошедшего. В официальном сообщении компания отметила, что утечка ограничена только информацией, к которой имел доступ ее специалист, однако не уточнила, о каком объеме данных идет речь или сколько клиентов мог затронуть инцидент.
Тем не менее, судя по переписке с haxta4ok00, ситуация могла оказаться довольно серьезной, поскольку утечка предоставляла стороннему лицу другие потенциальные возможности, в том числе выплачивать вознаграждения за уязвимости, изменять условия программы, добавлять пользователей и пр. В свою очередь haxta4ok00 заверил, что воспользовался доступом только для чтения и не вносил никаких изменений. Слова исследователя подтвердил глава службы безопасности HackerOne Рид Лоден (Reed Loden). Haxta4ok00 также подчеркнул, что удалил все скриншоты, логи прокси, историю браузера и другие данные, полученные в результате неавторизованного доступа.
Лоден не уточнил количество пострадавших клиентов, но отметил, что утечка затронула менее 5% программ.
Источник: https://www.securitylab.ru/news/503120.php
Ниже немного официоза по описанию событий:
Компания HackerOne, управляющая одноименной платформой по координации программ вознаграждения за найденные уязвимости различных компаний, была вынуждена выплатить из собственного кармана вознаграждение в $20 тыс. после того, как случайно предоставила стороннему исследователю возможность читать и вносить изменения в отчеты об уязвимостях некоторых ее клиентов.
Причиной утечки стала неосторожность одного из аналитиков HackerOne, который в переписке с одним из участников сообщества платформы, использующим псевдоним haxta4ok00, случайно передал в составе команды cURL действительный сессионный cookie-файл, позволявший любому читать и частично изменять данные.
Haxta4ok00 проинформировал HackerOne о проблеме, спустя два часа компания отозвала сессионный cookie и начала выяснять причины произошедшего. В официальном сообщении компания отметила, что утечка ограничена только информацией, к которой имел доступ ее специалист, однако не уточнила, о каком объеме данных идет речь или сколько клиентов мог затронуть инцидент.
Тем не менее, судя по переписке с haxta4ok00, ситуация могла оказаться довольно серьезной, поскольку утечка предоставляла стороннему лицу другие потенциальные возможности, в том числе выплачивать вознаграждения за уязвимости, изменять условия программы, добавлять пользователей и пр. В свою очередь haxta4ok00 заверил, что воспользовался доступом только для чтения и не вносил никаких изменений. Слова исследователя подтвердил глава службы безопасности HackerOne Рид Лоден (Reed Loden). Haxta4ok00 также подчеркнул, что удалил все скриншоты, логи прокси, историю браузера и другие данные, полученные в результате неавторизованного доступа.
Лоден не уточнил количество пострадавших клиентов, но отметил, что утечка затронула менее 5% программ.
Источник: https://www.securitylab.ru/news/503120.php