แพลตฟอร์มแก้ไขข้อบกพร่อง HackerOne จ่ายโบนัส 20,000 ยูโรให้กับแฮ็กเกอร์บุคคลที่สาม หลังจากที่ทำให้เขาสามารถอ่านและแก้ไขรายงานข้อผิดพลาดของลูกค้าบางส่วนได้โดยไม่ได้ตั้งใจ ทุกอย่างเริ่มต้นขึ้นเมื่อคนแปลกหน้าซึ่งเป็นสมาชิกของชุมชน HackerOne ซึ่งได้รับการพิสูจน์แล้วว่ากำลังมองหาช่องโหว่ ได้ติดต่อนักวิเคราะห์ความปลอดภัยคนหนึ่งของบริษัท นักวิเคราะห์ของ HackerOne ได้ส่งผู้ใช้ที่ใช้ descriptor haxta4ok00 องค์ประกอบของคำสั่ง cURL อย่างไรก็ตาม คำสั่ง cURL ที่ส่งโดยนักวิเคราะห์มีคุกกี้เซสชันที่ถูกต้องโดยไม่ได้ตั้งใจ ซึ่งใครก็ตามที่ครอบครองสามารถใช้เพื่ออ่านและแม้แต่แก้ไขข้อมูลบางส่วนที่นักวิเคราะห์สามารถเข้าถึงได้ โชคดีที่ HackerOne สามารถเพิกถอนคุกกี้เซสชันได้อย่างรวดเร็วเพียงสองชั่วโมงหลังจากที่ haxta4ok00 รายงานการละเมิดครั้งแรก
การละเมิดข้อมูล
HackerOne ไม่ได้บอกว่าในเวลานี้ข้อผิดพลาดของนักวิเคราะห์ความปลอดภัยได้เปิดเผยข้อมูลไปมากน้อยเพียงใด อย่างไรก็ตาม ในรายงานเหตุการณ์ที่เผยแพร่เมื่อเร็วๆ นี้ บริษัทระบุว่าลูกค้าที่ได้รับผลกระทบทั้งหมดได้รับแจ้งเป็นการส่วนตัวแล้ว รายงานยังเปิดเผยว่าข้อมูลที่นำเสนอนั้นจำกัดเฉพาะรายงานที่นักวิเคราะห์ความปลอดภัยสามารถเข้าถึงได้ อย่างไรก็ตาม การเปิดเผยไม่ได้ให้เบาะแสเกี่ยวกับจำนวนลูกค้าหรือจำนวนข้อมูลที่ได้รับผลกระทบด้วยซ้ำ หนึ่งวันหลังจากเหตุการณ์ดังกล่าว Jobert Abma ผู้ร่วมก่อตั้ง HackerOne เขียนถึง haxta4ok00 ว่า "มีบางอย่างเกิดขึ้นซึ่งเรายังไม่ได้ถามคุณ เราไม่ได้พิจารณาว่าจำเป็นต้องเปิดรายงานและหน้าทั้งหมดเพื่อตรวจสอบการเข้าถึงบัญชีของคุณ สามารถ คุณอธิบายว่าทำไมเราถึงถาม Haxta4ok00 ตอบคำถามนี้โดยระบุว่าเขาได้เปิดรายงานและหน้าทั้งหมดเพื่อ "แสดงผลกระทบ" และเขาไม่มีเจตนาที่จะทำร้าย HackerOne หรือลูกค้า คำอธิบายนี้ไม่เพียงพอสำหรับ Abma ซึ่งตอบว่า: "นี่กลายเป็นเหตุการณ์สำคัญเนื่องจากปริมาณข้อมูลที่คุณเข้าถึง ไม่ใช่เพราะมันเกิดขึ้นตั้งแต่แรก Haxta4ok00 ยังคงได้รับโบนัส €20,000 สำหรับการค้นพบของเขา ในขณะที่การเรียนรู้บทเรียนอันมีค่าที่ว่าการที่ไฟล์ถูกเข้าถึงโดยบังเอิญไม่ได้หมายความว่าคุณควรเปิดไฟล์เหล่านั้น ผ่านทาง Ars Technica