Wyciągnął dane hackerów z serwisu dla hackerów. Nagroda: $20 000

W złożonych systemach dość trudno zadbać o stosowną kontrolę dostępu do danych (bardziej po ludzku – o implementację uprawnień). Taki problem wydarzył się niedawno w serwisie hackerone:

Confidential data of users and limited metadata of programs and reports accessible via GraphQL.

Czyli stosownym zapytaniem GraphQL można było pobrać w sposób nieautoryzowany sporą liczbę danych osobowych (i technicznych) użytkowników serwisu + podstawowe metadane o raportach (które np. nie miały zgody na publikację).

Podatność została załatana w raptem 2 godziny po jej potwierdzeniu, a zgłaszający otrzymał sowitą nagrodę $20 000. Warto zaznaczyć, że to już kolejny „critical” w hackerone (niedawno pisaliśmy o SQL injection). Na pewno trzeba docenić otwartość twórców platformy, bo upublicznienie raportów zależało od ich dobrej woli.

–ms