Взломщики нашли способ обхода 2FA на HackerOne: доступ к аккаунтам и перехват вознаграждений!
На одной из известных торговых площадок Dark Web была выставлена на продажу редкая и потенциально опасная уязвимость. Она касается платформы HackerOne, знаменитой своей программой по поиску и устранению уязвимостей (bug bounty). Эта уязвимость позволяет обходить двухфакторную аутентификацию (2FA), давая злоумышленникам с действительными учетными данными полный доступ к аккаунтам.
Согласно объявлению, опубликованному на площадке, уязвимость не требует взаимодействия с пользователем или каких-либо ограничений для ее использования. Это означает, что злоумышленники могут не только просматривать все сообщения об ошибках и уязвимостях, но и эксплуатировать их, оставаясь незамеченными.
Более того, уязвимость позволяет изменить платежные реквизиты на аккаунтах и перехватить финансовые вознаграждения, предназначенные для исследователей. Для защиты целостности эксплойта продавец не предоставляет доказательство концепции (POC) наперед. Вместо этого, утверждается, что все транзакции будут обрабатываться через систему эскроу BF Escrow, что должно гарантировать надежность сделки.
Этот инцидент вызывает серьезную озабоченность среди сообщества кибербезопасности, так как подрывает доверие к одной из ведущих платформ по борьбе с киберугрозами. Представители HackerOne пока не прокомментировали ситуацию, но источники близкие к компании сообщают, что ведется активная работа по устранению потенциальной угрозы.
похожие материалы
Apple превратит Siri в полноценного ИИ чат-бота в новых версиях iOS и macOS
Apple готовит масштабное обновление голосового помощника Siri, которое должно превратить его в полноценного ИИ чат-бота, встроенного в экосистему iPhone, iPad и Mac.
В России беспилотные грузовики получат систему защиты от хакеров
В России внедряют дополнительную защиту для автономных грузовиков, участвующих в дорожных испытаниях.
Аналитики зафиксировали рост атак через подрядчиков в инфраструктурах российских компаний
Почти треть успешных взломов российских компаний в 2025 году произошла через подрядчиков, следует из аналитики центра мониторинга и реагирования на кибератаки RED Security SOC.
Роскомнадзор отчитался о снижение числа утечек в 2025 году
Количество зафиксированных случаев компрометации баз персональных данных в России снизилось в 2025 году до 118 случаев, в сеть попали более 52 млн записей, пишет ТАСС.
ИИ для обнаружения кражи учётных данных: «Лаборатория Касперского» выпустила SIEM-систему KUMA 4.2
«Лаборатория Касперского» представила обновлённую SIEM-систему Kaspersky Unified Monitoring and Analysis Platform для мониторинга и управления событиями безопасности.
«Платформа Боцман» признана лучшей российской Kubernetes-платформой для ИИ и машинного обучения
Компания «Платформа Боцман» сообщает о первом месте в отраслевом рейтинге российских Kubernetes-платформ для задач искусственного интеллекта и машинного обучения, составленном аналитиками ИТ-портала CNewsMarket.
Как изменилась платформа Security Vision за 2025 год: главное
Компания Security Vision подвела итоги развития платформы Security Vision 5 за 2025 год.
Мессенджеры на Bluetooth набирают популярность на фоне отключений интернета
В разных странах на фоне масштабных отключений интернета растет интерес к мессенджерам, способным работать без доступа к сети.
TP-Link предупредил о серьёзной уязвимости обхода аутентификации в IP-камерах VIGI
Компания TP‑Link выпустила предупреждение о критической уязвимости в локальном веб-интерфейсе функции восстановления пароля в ряде своих камер видеонаблюдения VIGI.
Треть россиян, которые используют гаджеты для мониторинга здоровья, хранят данные с них в секрете
Спектр возможностей для заботы о здоровье постоянно расширяется, и «Лаборатория Касперского» решила выяснить, какие умные устройства и приложения для мониторинга показателей организма используют россияне.