Même les plateformes de bug bounties peuvent être victimes de vulnérabilités. Un membre de la communauté a découvert sur le site de HackerOne une faille permettant de récupérer l’adresse mail d’un utilisateur. Un problème de paramétrage résolu en moins de trois heures.
C’est l’éternel histoire de l’arroseur arrosé. HackerOne permet aux entreprises de soumettre leurs codes sources et applications à l’analyse de « gentils » hackers de sorte que ces derniers y décèlent et signalent les vulnérabilités. Et justement, la plateforme elle-même était affligée d’une faille de sécurité, repérée par un chercheur.
Celle-ci affectait le système d’invitations permettant au propriétaire d’un programme soumis à inspection d’inviter tel hacker à des bug bounties privés, à réclamer leur prime, à rejoindre un programme, etc. Ce système permet aux utilisateurs d'être invités par email ou par nom d'utilisateur, sachant que si un utilisateur est invité par son nom d'utilisateur, l'expéditeur n'est pas autorisé à afficher son adresse e-mail pour des raisons évidentes de confidentialité.
Détectée à 7h, patchée à 9h30
Cette règle était protégée par les listes de contrôle d'accès (ACL) de HackerOne, que l’entreprise a migré, le 10 février, à 16h13, heure de Paris, « vers GraphQL sous une nouvelle couche de protection ». Mais la règle n’a pas été correctement implémentée. En conséquence, en générant cette invitation avec un nom d'utilisateur, puis en affichant l'invitation, l'e-mail de l'utilisateur aurait pu être exposé.
La faille, quoique sans grande gravité, a été découverte par un membre de la communauté, et signalée le 11 février à 06h53. A 9h30, le patch était déployé, la faille corrigée et dix minutes plus tard, l’enquête était terminée. La faille a cependant été exploitée… par le chercheur : les deux victimes ont par la suite été notifiées de la fuite de leur adresse mail par ce dernier.