Haberler
Hacking Platformunu Hack’leyen “Hacker’a” Hacker’lardan 20 Bin Dolar Ödül!
Yarım milyondan fazla beyaz şapkalı hacker üyesi bulunan bug bounty (yazılım hatalarını tespit edenlerin ödüllendirilmesi) plaftormu HackerOne, tarihinde bir ilki yaşadı.
HackerOne, şirketler ile ödül avcılığına soyunan hacker’lar arasında bir köprü görevi görüyor. Birçok üst düzey şirketin dahil olduğu platform, hacker’ların bu şirketlere ait güvenlik açıklarını bulmaları ve karşılığında para ödülü almalarına dayanıyor.
General Motors, Goldman Sachs, Google, Microsoft, Twitter ve hatta ABD Savunma Bakanlığı’nın merkezi Pentagon’un bile güvenlik açıklarını bulmak için hacker’lara bağışta bulunduğu HackerOne, bu kez (ve aslında ilk kez) hack’lenen taraf oldu.
HackeOne üyelerinden “haxta40k00“, 24 Kasım günü platformda paylaştığı mesajda “platformun tüm güvenlik mesajlarını görebildiğini” ifade etti. Mesaj, HackerOne güvenlik analistlerinden birinin hesabına sızıldığı anlamına geliyordu.
Söz konusu hack’leme şu şekilde gerçekleşmişti: Hacker ödül avcılığı programına kayıt olmak için bir HackerOne güvenlik analisti ile iletişim halindeyken, analist bir URL adresinin kopyala/yapıştır yapmıştı. Aslına bakılırsa bu bir cURL adresiydi (farklı protokoller aracılığı ile veri transferi yapılmasını sağlayan komuta satırı aracı içeren bağlantı).
cURL, güvenlik analistinin en son sistem girişi esnasındaki çerez bilgilerini içeriyordu. Tarayıcı kapandığı zaman otomatik olarak silinse de geçici çerez hacker’a hiçbir sayfada veya bölümde güvenlik adımı gerektirmeden gezinme imkanı verdi.
Hacker, güvenlik analistinin şifre ile erişim sağladığı tüm sayfalara da girebiliyordu. Çerezin iptal edildiği iki saat içerisinde, hacker birçok güvenlik bilgisine ulaşmayı başardı.
HackerOne, haxta40k00 tarafından yapılan sızıntı ile elde edilen bilgilerin internette yayınlandığına dair hiçbir veri bulunmadığını, aynı zamanda hacker’ın eline geçen tüm bilgileri sildiğini doğruladığını belirtti.
Eğer söz konusu gerçek bir saldırı olsaydı, en büyük beyaz şapkalı hacker topluluklarından birinin sonu gelebilirdi.
20 bin dolar ödül
haxta40k00, elde ettiği bilgiler ile Dark Web üzerinde HackerOne üzerinde kullanılabilecek birçok sıfır gün saldırısı (tespit edilen açıklar üzerinde ilk kez denenecek olan ve henüz önlemi geliştirilmemiş saldırılar) satabilirdi.
HackerOne, haxta40k00 adlı hacker’ı son derece kritik tespiti için 20.000 dolar ile ödüllendirdi.
Platformdan yapılan açıklamada, güvenlik analistinin tüm müşteri veri tabanına erişiminin olmadığı, yine de birçok unsura ait hassas bilgilerin ifşa edildiği ifade edildi.
- Hacker türleri hakkında detaylı bilgi için buraya tıklayabilirsiniz.
