Bug-Bounty-Plattform Hackerone war Opfer eines Hacks – und zahlte hohe Prämie
Ein Hackerone-Mitarbeiter passte nicht auf und ein Sicherheitsforscher konnte auf Kunden-Berichte zugreifen. Nun haben sie ihr System effektiver abgesichert.
(Bild: antb/Shutterstock.com)
Über die Bug-Bounty-Plattform Hackerone können Sicherheitsforscher von ihnen entdeckte Schwachstellen in Software und Websites von beispielsweise Google Play, Microsoft und Spotify melden und dafür Prämien einstreichen. Nun wurde Hackerone aber selber Opfer einer Attacke und zahlte dem Hacker eine Prämie.
Wie es dazu kam: Ein Analyst von Hackerone versuchte das Ausnutzen einer eingereichten Sicherheitslücke nachzuvollziehen. Während der Rücksprache mit dem Sicherheitsforscher verschickte er eine cURL-Kommando, dass versehentlich einen gültigen Session-Cookie enthielt.
Kundendaten einsehbar
Damit konnte der Sicherheitsforscher dann auf alle dem Analysten zugänglichen Fehlerberichte von anderen Kunden zugreifen, führt Hackerone in einem Bericht aus. Theoretisch hätte er sogar Daten verändern können. Der Sicherheitsforscher versichert, die Daten nicht angefasst zu haben. Hackerone gibt an, betroffene Kunden kontaktiert zu haben. Das von der Schwachstelle ausgehende Risiko haben sie mit "hoch" eingestuft.
Als Prämie haben sie dem Sicherheitsforscher 20.000 US-Dollar bezahlt. Eigentlich stehen einem Sicherheitsforscher für das Melden von einer Schwachstelle dieses Kalibers 7500 US-Dollar Belohnung zu. Hackerone hat aber aufgrund der Fülle von einsehbaren sensitiven Informationen den Betrag angehoben.
Problem entschärft
Nun haben sie eine Maßnahme ergriffen, damit nicht jedermann Session Cookies zum Zugriff nutzen kann. Dafür sind die Cookies ab sofort an eine IP-Adresse gebunden. So können von anderen Computern keine Zugriffe stattfinden. Die Gültigkeit des betroffenen Session Cookies hat Hackerone mittlerweile widerrufen. (des)
