Утечка произошла из-за неосторожности одного из специалистов HackerOne, который случайно передал стороннему лицу действительный сессионный cookie-файл.
Компания HackerOne, управляющая одноименной платформой по координации программ вознаграждения за найденные уязвимости различных компаний, была вынуждена выплатить из собственного кармана вознаграждение в $20 тыс. после того, как случайно предоставила стороннему исследователю возможность читать и вносить изменения в отчеты об уязвимостях некоторых ее клиентов.
Причиной утечки стала неосторожность одного из аналитиков HackerOne, который в переписке с одним из участников сообщества платформы, использующим псевдоним haxta4ok00, случайно передал в составе команды cURL действительный сессионный cookie-файл, позволявший любому читать и частично изменять данные.
Haxta4ok00 проинформировал HackerOne о проблеме, спустя два часа компания отозвала сессионный cookie и начала выяснять причины произошедшего. В официальном сообщении компания отметила, что утечка ограничена только информацией, к которой имел доступ ее специалист, однако не уточнила, о каком объеме данных идет речь или сколько клиентов мог затронуть инцидент.
Тем не менее, судя по переписке с haxta4ok00б, ситуация могла оказаться довольно серьезной, поскольку утечка предоставляла стороннему лицу другие потенциальные возможности, в том числе выплачивать вознаграждения за уязвимости, изменять условия программы, добавлять пользователей и пр. В свою очередь haxta4ok00б заверил, что воспользовался доступом только для чтения и не вносил никаких изменений. Слова исследователя подтвердил глава службы безопасности HackerOne Рид Лоден (Reed Loden). Haxta4ok00б также подчеркнул, что удалил все скриншоты, логи прокси, историю браузера и другие данные, полученные в результате неавторизованного доступа.
Лоден не уточнил количество пострадавших клиентов, но отметил, что утечка затронула менее 5% программ.
Одно найти легче, чем другое. Спойлер: это не темная материя