作为一个领先的漏洞报告平台，HackerOne已经代表100多个客户向黑客支付了2300多万美元，其中包括Twitter、Slack和美国五角大楼。该公司的地位还让它可以接触到数量多得难以想象的敏感数据。现在，该公司已经自掏腰包支付了2万美元的赏金，因为它意外地给了外部黑客阅读和修改客户漏洞报告的能力。

 

这名外来者是一名黑客社区成员，他有通过该平台发现并私下报告漏洞的可靠记录。上个月底，他一直在与该公司的一名安全分析师沟通。在一条消息中，HackerOne分析人员向社区成员发送了cURL命令的一部分，该命令错误地包含了一个有效的会话cookie，该cookie允许任何拥有它的人能够读取和部分修改分析人员可以访问的数据。

 

11月24日，社区成员haxta4ok00用蹩脚的英语写道:“HackerOneStaff访问”。“我可以阅读所有的安全报告和更多的程序。在随后的一条信息中，haxta4ok00写道:“我发现你可以编辑私人程序(用于测试)，我没有改变任何东西，也没有使用，都是为了黑客。”同一天，黑客又跟进了，写道:“如果你需要证据，我可以写一条信息(修改)。”

 

HackerOne在太平洋时间早上7点11分撤销了会话cookie，沐鸣开户测速而此时正是haxta4ok00报告该漏洞后的2小时3分钟。随后，该公司的事故响应小组着手调查发生了什么以及造成了多大的损失。

 

损失评估

 

HackerOne并没有准确说出有多少数据被泄露。该公司周二发布的一份事故报告称，所有受影响的客户都已得到私下通知。周二的报告还说，这些数据仅限于安全分析师能够接触到的报告，但披露的信息甚至没有提供多少客户或多少数据受到影响的粗略估计。然而，该报告以及与之相关的HackerOne与haxta4ok00通讯的文字记录表明，这次曝光并非微不足道。

 

“发生了一些我们还没有问你的事情，”HackerOne的联合创始人Jobert Abma在事件发生后的第二天写道。“我们发现你没有必要打开所有的报告和页面来验证你是否可以进入账户。你能解释一下为什么要这样对我们吗?”

 

这名社区成员说，他这样做是为了“显示影响”，他无意造成任何伤害，并立即报告了访问情况。他写道:“我不确定在代币之后我是否会拥有所有的权利。”在后来的一条消息中，haxta4ok00继续写道:

 

三年前我提到过这样的攻击，但它是理论性的，没有人听我的。如果这将有助于我在一个系统的安全论坛版主。我们通过将会话绑定到入口的IP地址来保护自己免受这种攻击。我们还对访问私有部分进行了基本授权。也许这对你有帮助。

 

我明白，看到的数据不应该被看到，但这只是黑客的兴趣在白色的目的，我想看，并向你展示偏见的后果，这可以导致(我一直被教导写的全面影响)。对我来说，这是一次愉快的白砍。

 

请不要责骂他，他是帮助黑客的最好的员工之一

 

如果我觉得翻译的不好，希望大家能谅解。再次谢谢@jobert。

 

Abma回答说:“这成为一个更大的事件是因为你访问了大量的数据，而不是因为它一开始就发生了。”

 

还有Abma发出的另一条信息。上面写着:

 

由于可以访问的数据的性质，可以访问hackerone.com以外的系统。范围包括由于可能被访问的漏洞信息而导致的任何客户资产。

 

这份文字记录和报告还表明，这次入侵给了外来者其他可能更严重的能力，包括支付赏金、修改程序细节、增加用户和暂停客户提交。Haxta4ok00向HackerOne保证，黑客将访问限制为“只读”。HackerOne的安全主管里德·洛登(Reed Loden)在一封电子邮件中表示，网络日志也显示，他们没有尝试做任何改变。