HackerOne fue hackeada por investigador que reportó una vulnerabilidad pero no recibió pago

HackerOne es una de las plataformas de reporte de vulnerabilidades más importantes, por lo tanto tiene acceso a grandes cantidades de información, aunque en ocasiones esa información puede resultar expuesta. Acorde a especialistas en hacking ético, la plataforma tuvo que pagar más de 20 mil dólares después de entregar por error acceso indebido a un actor externo, según un reporte publicado por Ars Technica.

Este actor externo es un hacker que ha colaborado anteriormente con la plataforma. Semanas anteriores, uno de los analistas de HackerOne se había puesto en contacto con el hacker mediante una serie de mensajes; entre estos mensajes, el analista de HackerOne envió, por error, fragmentos de código cURL que incluían cookies de sesión válida que permitían a su poseedor leer y modificar de forma parcial algunos datos resguardados por HackerOne y sus analistas.

El miembro ‘haxta4ok00’ escribió a HackerOne: “Puedo leer y editar todos los informes de seguridad. No he cambiado nada y no he explotado esta falla, todo por el bien de la comunidad del hacking”. El usuario también se ofreció a enviar pruebas de sus afirmaciones a los analistas de la plataforma.

HackerOne revocó la cookie de sesión poco después de que el usuario les informara sobre el error; el equipo de hacking ético de la plataforma comenzó entonces una investigación para determinar cualquier posible consecuencia.

En su informe sobre el incidente, HackerOne menciona que las compañías asociadas potencialmente afectadas ya han sido notificadas, además de que no todos los informes de seguridad recibidos fueron expuestos, sino que sólo se trata de los informes a los que el analista que cometió el error tenía acceso. No obstante, la plataforma también publicó una transcripción de su interacción con el usuario haxta4ok00 que sugiere que el alcance del incidente podría ser considerable.

En la conversación, Jobert Abma, cofundador de HackerOne, cuestiona al usuario sobre su forma de comprobar que tenía acceso a los reportes, a lo que el usuario aseguró: “Hace tres años informé sobre esta clase de ataque, pero sólo a nivel teórico, aunque nadie me escuchó. Entiendo que no tengo autorización para acceder a estos datos, pero lo hice con fines de hacking ético”.

Los expertos en hacking ético consideran que este incidente también le habría dado al usuario otras capacidades maliciosas en la plataforma, como acceso a los sistemas de pago de recompensas, modificación de reglas, de usuarios o alteración de los reportes recibidos. A pesar de esto, el usuario afirma que no modificó nada; por su parte, Reed Loden, director de seguridad de la plataforma, asegura que no se tiene registro de ningún cambio en la información expuesta.

El director de seguridad también mencionó que el ataque teórico que el usuario afirma haber reportado hace tres años, estaba basado en navegadores antiguos que no eran (y siguen sin ser) compatibles con los requisitos de HackerOne.

Acorde a los especialistas en hacking ético del Instituto Internacional de Seguridad Cibernética (IICS), a pesar de que no hay evidencia que demuestre que el usuario alteró o almacenó la información comprometida, esta debe ser una muestra de los riesgos de seguridad que corren plataformas como HackerOne y las compañías que confían en ellas para generar entornos menos propensos a la explotación de fallas de seguridad.