Spot kontrolü nedir?
Spot kontrolü, güvenlik ekiplerinin güvenlik araştırmacıları ile sıkı odaklanmış ve insan destekli bir değerlendirme yapmaları için güçlü bir araçtır. Hackerone Bounty ve Challenge programlarının bir parçası olarak mevcut olan spot kontrolleri, yeni özellikleri, kimlik doğrulama ve yetkilendirme gibi kritik özellikleri veya eski eski uygulamaları ve kodları test etmek için idealdir.
Hackerone neden bir nokta kontrolü yaptı?
X üzerinde yayınlanan bir tehdit oyuncusu, hackerone platformunda bir MFA baypasının ayrıntılarını satmayı teklif ettiklerini gösteriyor. Ek kanıt sağlanmadı.
Bu bilgiler, Infosec alanında haber yayınlayan bir X hesabı tarafından alındı. Bypass olası görünmese de, MFA uygulamamızın güvenliğini doğrulamak ve emin olmak için odaklanmış testler yoluyla güven kazanmak istedik.
Ayrıca, spot kontrolleri de dahil olmak üzere kendi özelliklerimizi kullanmaya ve test etmeye yatırım yapıyoruz. Hackerone, hata ödül programını çalıştırmak ve hem penetrasyon testlerini hem de kimlik avı değerlendirmelerini gerçekleştirmek için kendi platformunu kullanır ve spot kontrolleri farklı olmamalıdır. Hackerone güvenlik ekibi kendi dahili müşterisidir.
Spot Kontrol Zaman Çizelgesi
4 Temmuz 2024
MFA bypass iddialarının ilk raporu alındı.
Adımlar:
- İnceleme Raporları: Sorunun daha önce rapor edilip edilmeyeceğini görmek ve daha sonra risk raporlarını yeniden değerlendiren programımıza MFA ile ilgili tüm açık ve kapalı raporları inceledik. Hiçbir şey potansiyel bir MFA baypas olarak tanımlanmadı.
- Kimlik doğrulama günlüklerini inceleyin: Herhangi bir MFA baypasının kanıtı için kimlik doğrulama günlüklerimizi inceledik.
9 Temmuz 2024
Rapor medya tarafından alındı. Aşağıdaki yanıtla ele aldığımız bazı müşteri soruları aldık:
“Hackerone platformunda bir MFA baypasının iddialarının farkındayız ve araştırıyoruz. Bununla birlikte, bu iddialar asılsız kalmaya devam ediyor ve HackerOne’a teknik ayrıntı sağlanmadı. Her zaman olduğu gibi, şüpheli giriş aktivitesi için izliyoruz ve gerektiğinde harekete geçmeye hazırız.
11 Temmuz 2024
Spot kontrolü başlatıldı.
Spot kontrolünü yürütmek
İlk istek
Dahili güvenlik ekibimiz, spot çekin kapsamını ve odağını oluşturmak için Bug Bounty program yöneticisi ve dahili müşteri başarı yöneticimizle birlikte çalıştı. İlk istek şöyle görünüyordu:
“Hackerone platformunun MFA kimlik doğrulama mekanizmasını, herhangi bir bypass veya diğer güvenlik sorunları için derin ve kapsamlı bir şekilde test etmesini istiyoruz.
Güvenlik araştırmacıları, Hackerone platformunda hesap oluşturarak ve hesaplarında MFA’yı etkinleştirerek bu işlevselliği test edebilir.
Hedef: https://x.com/monhreat/status/1808854873510662370
MFA etkinleştirilmiş bir hesaba giriş yapmak için bir kullanıcı adı ve şifrenin herhangi bir bypass’ı arıyoruz, yani MFA gerekli değildir. Bu, bir kullanıcının TOTP tohumunu belirleme veya diğer kullanılabilir bilgilere dayanarak gerekli MFA kodunu tahmin etme yeteneğini içerir.
Lütfen MFA’daki sorunların bu raporlarını ve kopyaların raporlanmasını önlemek için değerlendirme ve kararları gözden geçirin: (Önceki raporların listesi buraya dahil edildi). ”
Mevcut MFA raporlarını, hangi sorunların bulunduğunu ve daha önce nasıl tetiklendiğini ve çözüldüğünü bilecekleri için spot kontrolünü yürüten güvenlik araştırmacılarına sunmak önemliydi. Bu, araştırmacılara hangi konuların bizim için değerli olduğu konusunda rehberlik etmesine yardımcı oldu ve ayrıca yinelenen sorunları bildirmekten kaçınmalarına yardımcı oldu.
Test özellikleri
- Her biri 1.000 $ ‘dan orta nokta kontrolü, toplam maliyeti 5.000 $’ lık beş güvenlik araştırmacısı ile
- MFA Bypass’ı hızlı bir şekilde bulmakla deneyimli bir grup en iyi araştırmacı seçildi
- Her biri 10-40 saat test geçiren dört araştırmacıdan gönderilen yazılar aldı
Sonuçlar
Spot kontrolü bir başarıydı ve güvenlik ekibi sonuçtan çok memnun. Ayrıntılı yazılar, kimlik doğrulama testinin kapsamlı ve derinliğine ve özellikle de çok faktörlü kimlik doğrulama uygulamamıza güven verdi.
Spot kontrolünün bir sonucu olarak, bir orta yüzlük sorunu keşfettiğimiz için çok minnettardık: 2FA sıfırlama işlemimizde bir yarış koşulu kırılganlığı. Hata çözüldü ve hackerone platformunda açıklandı.
Spot kontrolleri yoluyla odaklanmış testin değeri
Esnek yön ve spesifik, test tabanlı araştırmacı seçimleri ile son derece odaklanmış testler arıyorsanız, ancak tam ölçekli bir daha pahalıdan daha hızlı ve daha ucuz-nokta kontrolleri cevaptır. Hackerone olarak, iç güvenlik ihtiyaçlarımız için spot kontrolleri kullanmayı seviyoruz ve ekibimiz kuruluşunuz için spot kontrolleri uygulamanın en iyi yollarını tartışmaktan mutluluk duyuyor. Bugün ekibimizle iletişime geçin veya hackerone müşterileri şimdi bir spot çekle başlayabilir.