Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Wyciągnął dane hackerów z serwisu dla hackerów. Nagroda: $20 000
W złożonych systemach dość trudno zadbać o stosowną kontrolę dostępu do danych (bardziej po ludzku – o implementację uprawnień). Taki problem wydarzył się niedawno w serwisie hackerone:
Confidential data of users and limited metadata of programs and reports accessible via GraphQL.
Czyli stosownym zapytaniem GraphQL można było pobrać w sposób nieautoryzowany sporą liczbę danych osobowych (i technicznych) użytkowników serwisu + podstawowe metadane o raportach (które np. nie miały zgody na publikację).
Podatność została załatana w raptem 2 godziny po jej potwierdzeniu, a zgłaszający otrzymał sowitą nagrodę $20 000. Warto zaznaczyć, że to już kolejny „critical” w hackerone (niedawno pisaliśmy o SQL injection). Na pewno trzeba docenić otwartość twórców platformy, bo upublicznienie raportów zależało od ich dobrej woli.
–ms