HackerOne verliert vertrauliche Fehlerberichte seiner Kunden
Thursday, December 5, 2019
Des Weiteren kündigte HackerOne Maßnahmen an, um ähnliche Vorfälle künftig zu verhindern. Unter anderem werden man Session-Cookies, wie auch von haxta4ok00 vorgeschlagen, künftig mit der IP-Adresse des Nutzers verknüpfen. Dadurch können verlorene Cookies nicht mehr von Unbefugten benutzt werden.
„Es ist erstaunlich, dass die jetzt von HackerOne angekündigten Sicherheitsmaßnahmen bisher nicht umgesetzt wurden, da einige von ihnen grundlegender und unverzichtbarer Natur sind“, kommentiert Ilia Kolochenko, Gründer und CEO der Web-Sicherheitsfirma ImmuniWeb. Die schnelle und transparente Offenlegung des Vorfalls durch HackerOne sei hingegen ein „lobenswertes Beispiel für andere und erinnert uns noch einmal daran, dass der Mensch das schwächste Glied ist.“ Read Full Article
SiliconANGLE: Bug bounty startup HackerOne suffers breach after analyst mistake
SecurityWeek: Hacker Accessed Private Reports on HackerOne