HackerOne 05.12.2019, 09:43 Uhr

Wenn Hacker gehackt werden

Nur für zwei Stunden existierte die Lücke bei HackerOne. In dieser Zeit konnten etliche der kritischen Sicherheitsberichte von Unbefugten eingesehen werden.
(Quelle: B.Lauer)
Die Plattform HackerOne ist ein Unternehmen, das Sicherheitsforscher für Bug-Bounty-Programme vermittelt. Kunden sind unter anderem General Motors, Twitter, Microsoft, das US-Verteidigungsministerium und auch die Europäische Kommission. Häufig spricht HackerOne die Community an, bei der Suche nach Fehlern in Systemen ihrer Kunden mitzuwirken. Lockmittel dafür sind die für das Auffinden von Bugs ausgeschriebenen Prämien. Diese sogenannten Bug-Bounty-Programme sind in den letzten Jahren immer attraktiver geworden. Die Plattform HackerOne verfügt nach eigenen Aussagen inzwischen über eine Community von über 400.000 registrierten Hackern und hat über 100 Kunden. Die Hacker verdienten allein im Jahr 2018 zusammen über 19 Millionen Dollar und insgesamt mehr als 50 Millionen seit Gründung der Plattform.
Das Geld verdienen die Bug-Bounty-Jäger, weil sie kritische Fehler in Software gefunden haben. Ende November 2019 musste nun HackerOne selbst ein Loch in seiner Plattform stopfen. Am 24. 11. hatte es das Community-Mitglied haxta4ok00 entdeckt. Er meldete an HackerOne: Ich kann alle Security-Berichte lesen und er hat gleich auch etliche der Berichte geöffnet, um die Tragweite der Lücke zu demonstrieren. Damit waren die eigentlich streng geheimen Fehlerberichte, die nur die Kunden von HackerOne bekommen sollten, um die Lücken möglichst schnell zu schließen, öffentlich zugeänglich.
Zwei Stunden und drei Minuten nach bekanntwerden der Lücke, hat HackerOne sie geschlossen. Es heißt, ein Security Analyst habe ein Session Cookie verschickt, das es erlaubte seinen Account zu übernehmen.
Der Vorgang zeigt eindrücklich, dass Online nichts sicher ist, insbesondere dann, wenn Menschen involviert sind.
Die ganze Geschichte rund um den Vorfall können Sie bei arsTechnika nachlesen (englisch).


Das könnte Sie auch interessieren