Spot Kontrol Nedir?
Spot Check, güvenlik ekiplerinin güvenlik araştırmacılarıyla sıkı bir şekilde odaklanmış ve kapsamlı insan gücüyle değerlendirme yapmasına yönelik güçlü bir araçtır. HackerOne Ödül ve Mücadele programlarının bir parçası olarak sunulan Nokta Kontrolleri, yeni özellikleri, kimlik doğrulama ve yetkilendirme gibi kritik özellikleri veya eski eski uygulamaları ve kodları test etmek için idealdir.
HackerOne Neden Bir Nokta Kontrolü Gerçekleştirdi?
Bir tehdit aktörü, X’te HackerOne platformunda MFA bypass’ının ayrıntılarını satmayı teklif ettiklerini belirten bir paylaşım yaptı. Hiçbir ek kanıt sunulmadı.
Bu bilgiler Infosec alanında haber yayınlayan bir X hesabı tarafından toplandı. Baypas pek olası görünmese de, MFA uygulamamızın güvenliğini doğrulamak ve emin olmak için odaklanmış testlerle güven kazanmak istedik.
Ayrıca, Spot Kontroller de dahil olmak üzere kendi özelliklerimizi kullanmaya ve test etmeye yatırım yapıyoruz. HackerOne, hata tespit programını yürütmek ve hem sızma testleri hem de kimlik avı değerlendirmeleri gerçekleştirmek için kendi Platformunu kullanıyor ve Nokta Kontrollerinin de farklı olmaması gerekiyor. HackerOne Güvenlik ekibi kendi iç müşterisidir.
Nokta Kontrolü Zaman Çizelgesi
4 Temmuz 2024
MFA bypass iddialarına ilişkin ilk rapor geldi.
Adımlar:
- Raporları gözden geçirin: Sorunun daha önce bildirilmiş olup olmadığını görmek için MFA’yı içeren programımıza gelen tüm açık ve kapalı raporları inceledik ve ardından raporları risk açısından yeniden değerlendirdik. Potansiyel bir MFA bypass’ı olarak hiçbir şey tanımlanmadı.
- Kimlik doğrulama günlüklerini inceleyin: Kimlik doğrulama günlüklerimizi herhangi bir MFA atlama kanıtı açısından inceledik.
9 Temmuz 2024
Rapor medya tarafından ele alındı. Aşağıdaki yanıt aracılığıyla yanıtladığımız bazı müşteri soruları aldık:
“HackerOne platformunda MFA bypass iddialarının farkındayız ve araştırıyoruz. Ancak bu iddialar henüz kanıtlanmamıştır ve HackerOne’a hiçbir teknik ayrıntı verilmemiştir. HackerOne platformundaki geçerli herhangi bir güvenlik sorununa ilişkin raporlar, bizim aracılığıyla memnuniyetle karşılanacaktır. Birinci sınıf hata ödül programı. Her zaman olduğu gibi, şüpheli giriş etkinliklerini izliyoruz ve gerekli olması halinde harekete geçmeye hazırız. Ayrıca, MFA duruşumuzu daha da güçlendirmek için bir HackerOne Spot Check başlatacağız.”
11 Temmuz 2024
Spot Check başlatıldı.
Spot Kontrolün Gerçekleştirilmesi
İlk Talep
Dahili güvenlik ekibimiz, Nokta Kontrolü’nün kapsamını ve odağını oluşturmak için hata ödül program yöneticisi ve dahili müşteri başarı yöneticimizle birlikte çalıştı. İlk istek şuna benziyordu:
“HackerOne platformunun MFA kimlik doğrulama mekanizmasının herhangi bir bypass veya diğer güvenlik sorunlarına karşı derinlemesine ve kapsamlı bir şekilde test edilmesini istiyoruz.
Güvenlik araştırmacıları, HackerOne platformunda hesaplar oluşturarak ve hesaplarında MFA’yı etkinleştirerek bu işlevselliği test edebilirler.
Hedef: https://x.com/MonThreat/status/1808854873510662370
MFA’nın etkin olduğu bir hesapta oturum açmak için kullanıcı adı ve parolanın yeterli olduğu, yani MFA’nın gerekli olmadığı herhangi bir MFA bypassını arıyoruz. Bu, bir kullanıcının TOTP tohumunu belirleme veya diğer mevcut bilgilere dayanarak gerekli MFA kodunu tahmin etme yeteneğini içerir.
Tekrarların raporlanmasını önlemek için lütfen MFA’daki sorunlara ilişkin bu önceki raporları ve bunların değerlendirilmesini ve çözümünü inceleyin: (önceki raporların listesi buraya eklenmiştir).”
Mevcut MFA raporlarının, Spot Kontrol’ü yürüten güvenlik araştırmacılarına sağlanması önemliydi; böylece hangi sorunların bulunduğunu ve bunların daha önce nasıl önceliklendirilip çözüldüğünü bileceklerdi. Bu, araştırmacılara hangi konuların bizim için değerli olduğu konusunda rehberlik etti ve aynı zamanda mükerrer sorunları bildirmekten kaçınmalarına da yardımcı oldu.
Test Özellikleri
- Orta Düzey Spot Kontrolün her biri 1.000 ABD Doları, beş güvenlik araştırmacısıyla birlikte toplam maliyet 5.000 ABD Doları
- MFA bypass’larını hızlı bir şekilde bulma konusunda deneyimli bir grup üst düzey araştırmacı seçildi
- Her biri test için 10-40 saat harcayan dört araştırmacıdan gönderilen yazılar alındı
Sonuçlar
Spot Check başarılı oldu ve güvenlik ekibi sonuçtan çok memnun kaldı. Ayrıntılı yazılar, test kimlik doğrulamasının kapsamlılığı ve derinliğine ve özellikle de çok faktörlü kimlik doğrulama uygulamamıza güven sağladı.
Nokta Kontrolü sonucunda, orta önemde bir sorun keşfettiğimiz için de çok minnettarız: 2FA sıfırlama sürecimizdeki yarış durumu güvenlik açığı. Hata çözüldü ve HackerOne Platformunda açıklandı.
Nokta Kontrolleri Aracılığıyla Odaklanmış Testlerin Değeri
Esnek yönlendirme ve belirli, teste dayalı araştırmacı seçimleri ile son derece odaklanmış bir test arıyorsanız, ancak tam ölçekli bir sızma testinden daha hızlı ve daha ucuzsa, bunun yanıtı Nokta Kontrolleridir. HackerOne olarak, dahili güvenlik ihtiyaçlarımız için Nokta Kontrollerini kullanmayı seviyoruz ve ekibimiz, kuruluşunuz için Nokta Kontrollerini uygulamanın en iyi yollarını tartışmaktan mutluluk duyacaktır. Ekibimizle bugün iletişime geçin veya HackerOne müşterileri şimdi Spot Check’e başlayabilir.