Een hacker heeft dankzij een gelekt session cookie toegang tot afgeschermde bugmeldingen op het platform HackerOne gekregen. HackerOne laat softwarebedrijven, overheden en andere organisaties een beloningsprogramma's voor onderzoekers organiseren en handelt de coördinatie tussen de bugmelder en de gecompromitteerde of kwetsbare partij af.

Op 24 november controleerde een security-analist van HackerOne een ingezonden bugmelding. Het lukte de analist niet om de bug te reproduceren, die dat vervolgens rapporteerde aan de hacker die het probleem had gemeld. In de communicatie met de hacker deelde de analist per ongeluk zijn session cookie. De hacker kon met dit cookie toegang krijgen tot de afgeschermde bugmeldingen waar ook de analist toegang toe had.

Normaliter moeten HackerOne-medewerkers via multifactor Single Sign-On (SSO) inloggen om een geldig session cookie te krijgen. Aangezien de medewerker al was ingelogd en het hier om een live session cookie ging, was de hacker door het gebruik van dit cookie meteen als medewerker ingelogd. Zodoende kon hij afgeschermde rapportages en bugmeldingen inzien.

HackerOne erkent dat de aanval mogelijk was omdat het geen maatregelen had genomen om het gebruik van iemands session cookie in een andere browser te beperken. De hacker in kwestie meldde aan HackerOne dat hij het medewerkersaccount via het gelekte session cookie kon overnemen. Daarop werd het cookie ingetrokken en alle getroffen klanten van wie de bugmeldingen toegankelijk waren gewaarschuwd. De hacker ontving voor zijn melding 20.000 dollar.

Naar aanleiding van het incident heeft HackerOne verschillende maatregelen genomen, zoals het koppelen van een session cookie aan een ip-adres en het blokkeren van sessies afkomstig van bepaalde landen. Binnenkort zal het bugbountyplatform sessies aan apparaten koppelen en de educatie van medewerkers verbeteren.