Posté le décembre 7, 2019 à 19:34
UN HACKER RÉMUNÉRÉ 20 000 $ PAR LES HACKERS QUI PIRATENT LA PLATEFORME QU’IL A PIRATÉE
Le 24 novembre, un hacker s’est rendu sur la plateforme de bug bounty sur HackerOne. Il a écrit qu’il pouvait lire tous les rapports de sécurité de l’un de leurs programmes confidentiels.
Le hacker savait en ligne que Haxta4ok00 avait désormais accès à une tonne d’informations sensibles. Le co-fondateur de HackerOne, Joberty Abma a confirmé que le hacker était en mesure d’accéder à des informations sensibles et privées. Il a également déclaré que l’attaque a été jugée élevée par le système de notation de la vulnérabilité commune Common Vulnerability Scoring System .
Le plus souvent, ce sont les plus petits détails qui importent le plus en matière de sécurité. Dans ce cas, le hacker a communiqué avec un analyste de HackerOne. L’analyste a fait la simple erreur de copier-coller une URL. Cette URL contenait la liste des cookies de l’employé HackerOne. haxta4ok00 a piraté l’URL, lui donnant accès au site Web de l’entreprise. Ce qui lui a permis aussi de visualiser les documents importants de la même manière qu’un employé le ferait, sans avoir à se connecter.
Lorsque la violation a été découverte et signalée, la session des cookies a pris fin. Cela signifie qu’un accès non autorisé au site ne serait plus possible.
Afin d’éviter d’autres atteintes à la sécurité, HackerOne a mis en place des restrictions de session pour les employés. Cela signifiait que toutes les sessions ne seraient désormais accessibles qu’en utilisant l’adresse IP d’où elles provenaient.
Le piratage ne va pas sans conséquences
Une enquête lancée par HackerOne a déterminé que le piratage de haxta4ok00 n’était pas destiné à être une cyberattaque malveillante sur l’entreprise. Haxta4ok00 a également supprimé toutes les données et informations obtenues lors de l’incident. Si haxta4ok00 avait une intention malveillante, les conséquences auraient pu être catastrophiques. Haxta4ok00 aurait eu accès aux failles de sécurité des grandes entreprises. Y compris ceux du Département de la Défense des États-Unis.
HackerOne a signalé que de nombreux documents sensibles ont été exposés. Mais l’accès a été restreint pour refléter l’accès dont disposait le HackerOne Security Analyst, qui n’était pas constitué de la base de données client complète de l’entreprise.
Le piratage de HackerOne selon un responsable de sécurité
Craig Young, qui travaille en tant que chercheur principal en sécurité à Tripwire, a déclaré que ce type d’incident est un rappel des risques liés à l’utilisation de services qui ont besoin de notifications de vulnérabilité.
Tout site Web contenant des données confidentielles et précieuses est une cible de choix pour les hackers. Ils suscitent également l’intérêt des acteurs criminels et des agences de renseignement. Le PDG d’ImmuniWeb, Ilia Kolochenko, a déclaré qu’il était surpris que ces mesures de sécurité n’aient pas été mises en œuvre plus tôt.
Ce qui aurait rendu plus difficile le travail de Haxta4ok00 de pirater le système. Ilia Kolochenko a félicité HackerOne pour sa réponse rapide. Il a également reconnu la transparence de la divulgation de l’incident. Nous rappelant que l’erreur humaine constitue souvent la plus grande menace pour la sécurité.