پرداخت ۶۰ میلیون تومان بانتی در ازای گزارش یک حفره امنیتی، توسط راورو

پرداخت ۶۰ میلیون تومان بانتی در ازای گزارش یک حفره امنیتی، توسط راورو

۹۹۶

پلتفرم باگ بانتی راورو با بیان این اطلاعیه عنوان می‌کند:

"در راستای حفظ امنیت کاربران خود، مسئولانه ایستاده‌ایم، هر آن‌چه می‌توانیم را انجام داده و انجام خواهیم داد."

شرح ماجرا:

در تاریخ ۱۹ شهریور ۱۴۰۱ ساعت ۱۰:۲۸ صبح، گزارش آسیب‌پذیری‌ای به شناسه‌ی ir2022-09-10-0001 توسط شکارچی آسیب‌پذیری hitman، بر روی پلتفرم راورو ثبت شد.

مستندات دریافتی در این گزارش حاکی از آن است که شکارچی آسیب‌پذیری، با استفاده از آسیب‌پذیری Mass Assignment که در آخرین نسخه‌ی به‌روزرسانی‌‌شده‌ی راورو کشف کرده، توانسته به اطلاعات کاربری ۲۱۵ شکارچی آسیب پذیری از ۲۰۸۶ شکارچی ثبت‌نام‌کرده در راورو دسترسی پیدا کند. این اطلاعات از این قرارند:

Salt password، Email address، phone number (آدرس ایمیل، شماره‌تماس و مقدار Salt رمزعبور...)

Image

توضیحات تکمیلی در خصوص تاثیر این آسیب‌پذیری برروی حساب شکارچی‌ها:

لازم به ذکر است که در جریان اثر این آسیب‌پذیری؛

۱. از آن‌جایی که اطلاعات آدرس ایمیل و تلفن همراه شکارچیان در سیستم اطلاع‌رسانی (ارسال نوتیفیکیشن) به صورت Plain text مورداستفاده قرار می‌گرفته، این آسیب‌پذیری منجر به دسترسی به اطلاعات ایمیل و شماره تلفن این ۲۱۵ حساب کاربری "شکارچی" شده است.

۲. با توجه به این‌که مقدار Password به صورت Salt ذخیره شده، این اطلاعات غیرقابل شکستن هستند و تهدیدی در خصوص دسترسی به حساب‌های کاربری برای هیچ یک از شکارچیان ایجاد نخواهد کرد. به عنوان مثال؛

مقدار یک پسورد به این صورت نمایش داده شده است: $2y$10$VUp1RFFsOVNFRWlySDlmNOrm0rCmrf6UiXpFdaEHAFi9Tr8DWYToq که غیرقابل‌استفاده است.

۳. هیچ‌گونه دسترسی به اطلاعات بانکی و مدارک هویتی شکارچیان صورت نپذیرفته است.

۴. به دلیل رمزگذاری با استفاده از کلید خصوصی، هیچ‌گونه دسترسی به اطلاعات گزارش‌ شکار، شامل محتوای گزارش و فایل‌های پیوست امکان‌پذیر نبوده است.

۵. دسترسی صورت گرفته فقط مربوط به پارامتر‌های عنوان شده بوده و شامل متن پیام‌های ارسالی و دریافتی و سایر اطلاعات در حساب کاربری شکارچی نمی‌شوند.

توضیحات در خصوص تاثیر آسیب‌پذیری برای میدان‌ها:

لازم به ذکر است که در جریان اثر این آسیب‌پذیری؛

۱. هیچ تاثیری متوجه حساب کاربری سازمانی "میدان" نشده است.

۲. هم‌چنین به دلیل رمزگذاری گزارش‌ها، هیچ‌گونه دسترسی‌ای به اطلاعات گزارش‌های شکار( شامل؛ اطلاعات گزارش و فایل‌های پیوست) امکان‌پذیر نبوده است.

Image

اقدامات انجام شده:

در ساعات اولیه‌ی دریافت این گزارش، به سرعت آسیب‌پذیری برطرف و موارد یادشده جهت پیش‌گیری از عدم سوءاستفاده از این آسیب‌پذیری با شکارچی گزارش‌دهنده بررسی شد.

هم‌چنین در کارگروهی ویژه، اقدام به بازبینی تمامی روال‌ها و فرآیند‌های توسعه و به‌روزرسانی کد وب‌سایت صورت گرفت و کلیه‌ی موارد احتمالی با سازوکارهای سختگیرانه‌تر مورد بررسی و بازبینی قرار گرفتند.

اقدامات پیشگیرانه‌ی راورو:

لازم به ذکر است با همکاری و همراهی شکارچی گزارش‌دهنده، هیچ‌گونه نشت اطلاعاتی صورت نپذیرفته و اقدامات زیر صرفا جهت اطمینان خاطر بیش‌تر از امنیت کاربران انجام شده است.

۱. بررسی لاگ‌ها جهت اطمینان از عدم سوءاستفاده از آسیب‌پذیری.

۲. اطمینان از رفع کامل آسیب‌پذیری.

۳. ارتباط و هماهنگی با شکارچی آسیب‌پذیری.

۴. اجبار لزوم تغییر گذر واژه پس از ورود برای تمامی کاربران شکارچی.

۵. اطلاع به کاربران شکارچی و میدان‌ به‌صورت عمومی و خصوصی.

۶. انتشار اطلاعیه‌ی عمومی و خصوصی در کانال‌های اطلاع‌رسانی راورو (ایمیل، توییتر، تلگرام)

خط زمانی اقدامات انجام شده:

۱. ساعت ۰۰:۴۷ بامداد مورخ ۱۹ شهریور ۱۴۰۱ - اطلاع از کشف آسیب‌پذیری توسط شکارچی به پشتیبانی راورو.

۲. دریافت گزارش و تشکیل کارگروه ویژه‌ی بررسی آسیب‌پذیری در ساعات اولیه.

۳. بررسی صحت ادعای گزارش و تایید گزارش و اقدام جهت برطرف کردن آسیب‌پذیری.

۴. ساعت: ۱۰:۵۵همان روز اطمینان از رفع آسیب‌پذیری.

۵. تعیین مبلغ بانتی و روال پرداخت و اطلاع به شکارچی.

۶. تصمیم گیری در خصوص تنظیم و انتشار اطلاعیه

۷. بررسی روال و فرآیند‌ها جهت تکمیل اقدامات پیشگیرانه.

۸. برگزاری جلسه فنی با شکارچی ساعت ۱۶همان روز.

برنامه پیش‌رو:

در روزهای آینده writeup گزارش کامل این آسیب‌پذیری، به‌همراه مصاحبه با شکارچی آسیب‌پذیری در بلاگ راورو منتشر خواهد شد.

سخن پایانی:

از آن‌جایی که تنها سرمایه‌ی راورو، اعتماد و همراهی متخصصان و کسب‌و کارها است، در پایان ضروری می‌دانیم مجددا اعلام کنیم که پلتفرم راورو نسبت به این موضوع به‌طورمسئولانه حضور دارد و نسبت به رفع عوارض احتمالی آن پاسخ‌گو خواهد بود.

با سپاس

راورو