«Белый» хакер потерял $3750 за полминуты

Пентестер (или «белый» хакер – прим. редакции IT Speaker)  упустил вознаграждение в $3750 из-за простой ошибки в настройках HTTP. Эксперты считают, что эта история показывает: даже опытные хакеры могут ошибаться.

Герой данной истории, обнаружив уязвимость, позволяющую захватить чужой аккаунт, упустил вознаграждение из-за того, что тестировал функционал на поддомене staging с использованием HTTP вместо HTTPS. Токен для сброса пароля был перехвачен, и хотя пентестер смог сбросить пароль, вознаграждение он не получил, так как программа bug bounty действовала только для основного домена с HTTPS.

По словам инженера-аналитика лаборатории развития и продвижения компетенций кибербезопасности (ЛРиПКК), а также эксперта компании «Газинформсервис» Александра Катасонова, этот случай наглядно демонстрирует, как легко упустить критическую уязвимость, сосредоточившись на сложных сценариях атаки.

«Подобные случаи показывают, что даже самые мелкие элементы безопасности могут стать той самой уязвимой точкой, о которой никто бы не подумал. Как сказал сам герой истории, это и отличает профессионального пентестера от любителя», – отметил Катаносов.

Он подчеркивает, что этот пример работает и со стороны защитников: именно внимательные педанты обеспечивают наибольшую защищенность своей инфраструктуры.

«Ошибки, связанные с неправильными настройками, могут привести к потере не только времени, но и денег. Важность тщательной настройки и проверки каждого шага в процессе тестирования безопасности невозможно переоценить. Даже если кажется, что система надежно защищена, всегда стоит проверять альтернативные сценарии и конфигурации», – объясняет эксперт.

Ранее швейцарская компания кибербезопасности Prodaft запустила новую инициативу «Sell your Source», которая направлена на шпионаж за киберпреступниками. Для этого компания скупает проверенные и старые аккаунты на хакерских форумах.