漏洞報告平台 HackerOne 已經坦白其網站上存在一個嚴重安全漏洞,該漏洞可用於暴露用戶的電子郵件地址。
一位名為「msdian7」的研究人員透露了攻擊者如何利用網站的專案邀請功能來發現其他使用者的電子郵件地址: 網站本身有詳細說明:
「HackerOne 有一個邀請系統,允許程式所有者出於各種目的向用戶發送邀請,例如邀請駭客入侵私人程式、領取賞金、添加到程式中等等。 邀請系統允許透過電子郵件或使用者名稱邀請使用者。 如果使用者透過其使用者名稱受到邀請,則出於使用者隱私考慮,寄件者不得查看發送邀請的電子郵件地址。 這個規則一直由 HackerOne 的表徵狀態轉移 (REST) 框架中的存取控制清單 (ACL) 保護,但 HackerOne 已將這些物件遷移到新保護層下的 GraphQL。 當公開新的邀請對象時,先前應用的 ACL 規則未正確實施到新的 GraphQL 保護層。”
值得讚揚的是,在 msdian7 向 HackerOne 報告問題後的三個小時內,該問題得到了解決。
HackerOne 的回應令人印象深刻。
這才是最重要的。 我認為我們都可以接受任何複雜的網站都可能不時有漏洞和缺陷。 最重要的是及時識別並儘快解決,從而減少惡意利用的機會。
由於他們的麻煩,Msdian7 獲得了 8,500 美元的賞金。
一名使用 msdian7 帳號的研究人員發現並報告了攻擊者如何利用網站上的項目邀請功能來查看其他用戶的隱藏電子郵件地址,因此獲得了 8,500 美元的獎勵。 此缺陷可追溯到 HackerOne 的新 GraphQL 系統中缺少存取控制規則。
去年 20,000 月,另一位安全研究人員從 HackerOne 獲得了 XNUMX 萬美元。 發現了一種訪問網站上其他使用者的錯誤報告的方法.