Взломщики нашли способ обхода 2FA на HackerOne: доступ к аккаунтам и перехват вознаграждений!

На одной из известных торговых площадок Dark Web была выставлена на продажу редкая и потенциально опасная уязвимость. Она касается платформы HackerOne, знаменитой своей программой по поиску и устранению уязвимостей (bug bounty). Эта уязвимость позволяет обходить двухфакторную аутентификацию (2FA), давая злоумышленникам с действительными учетными данными полный доступ к аккаунтам.

Согласно объявлению, опубликованному на площадке, уязвимость не требует взаимодействия с пользователем или каких-либо ограничений для ее использования. Это означает, что злоумышленники могут не только просматривать все сообщения об ошибках и уязвимостях, но и эксплуатировать их, оставаясь незамеченными.

Более того, уязвимость позволяет изменить платежные реквизиты на аккаунтах и перехватить финансовые вознаграждения, предназначенные для исследователей. Для защиты целостности эксплойта продавец не предоставляет доказательство концепции (POC) наперед. Вместо этого, утверждается, что все транзакции будут обрабатываться через систему эскроу BF Escrow, что должно гарантировать надежность сделки.

Этот инцидент вызывает серьезную озабоченность среди сообщества кибербезопасности, так как подрывает доверие к одной из ведущих платформ по борьбе с киберугрозами. Представители HackerOne пока не прокомментировали ситуацию, но источники близкие к компании сообщают, что ведется активная работа по устранению потенциальной угрозы.