Недавно один из аналитиков HackerOne случайно рассекретил конфиденциальные отчеты и предоставил стороннему пользователю расширенные права доступа. К счастью, пользователь оказался сознательным и не стал злоупотреблять полученными привилегиями. Тем не менее, на некоторое время информационная безопасность обучение Красноярск компании существенно пошатнулась.
Почему это произошло, информационная безопасность обучение Красноярск
Как сообщают специалисты, один исследователь общался с аналитиком по вопросам безопасности HackerOne. В очередном сообщении он получил скопированный кусок команды с URL. В итоге у исследователя на руках оказался cookie-файл сеанса браузера неудачливого аналитика. С помощью этого небольшого файла, исследователь мог:
- читать и изменять отчеты клиентов HackerOne;
- просматривать логи закрытых программ по поиску багов;
- изменять условия и выплачивать вознаграждения по программе bug bounty;
- добавлять новых пользователей в список исключений.
Словом, у стороннего пользователя оказались права, которыми обладал сам сотрудник HackerOne. Важно отметить, что это компания, которая занимается поиском и устранением различных угроз. Следовательно, сама она должна быть защищена на максимальном уровне. Возможно, этот сотрудник не прошел качественное ИТ-безопасность обучение Красноярск, из-за чего смог совершить такую глупую ошибку.
Доступ к функционалу компании находился у исследователя на протяжении нескольких часов. Разработчики HackerOne поспешили заверить общественность, что пользователь имел гораздо меньше возможностей, чем он рассказывает. Но, возможно, они распространяют эту информацию с целью предотвращения паники со стороны своих клиентов. Если бы все сотрудники предприятия своевременно изучили кибербезопасность и информационная безопасность обучение Красноярск, подобный инцидент не мог бы произойти.
Как решили проблему эксперты
Тем не менее, исследователь уверяет, что после обнаружения расширенных возможностей поспешил удалить со своего компьютера всю конфиденциальную информацию и не пытался ей воспользоваться. После инцидента HackerOne внедрила несколько дополнительных механизмов защиты информации. Судя по всему, они помогут предотвратить подобные проблемы в будущем.
Неизвестно, что случилось с сотрудником, который предоставил стороннему пользователю конфиденциальную информацию. Однако, исследователь получил от HackerOne вознаграждение в размере 20 тысяч долларов за своевременное уведомление о проблеме и помощь в ее устранении. Скорее всего, сам исследователь тщательно изучил кибербезопасность лабораторная работа Красноярск онлайн.
Команда SEDICOMM University: Академия Cisco, Linux Professional Institute, Python Institute.