Incluso las grandes organizaciones a menudo necesitan ayuda para encontrar vulnerabilidades en su software y servicios, razón por la cual muchas inician sus propios programas de recompensas de errores o se asocian con la plataforma de recompensas de errores de HackerOne para hacerlo.
Los investigadores de seguridad esperan que se les pague por su trabajo y algunos incluso se han hecho millonarios por descubrir vulnerabilidades críticas que podrían tener graves repercusiones para las empresas si estuvieran expuestas en línea.
Sin embargo, un investigador de seguridad que recientemente reveló varias vulnerabilidades en Slack que podrían haber permitido que un atacante tomara el control de la computadora de un usuario solo recibió € 1,750 de la compañía, valorados en casi € 20 mil millones.
El ingeniero de seguridad de Evolution Gaming, Oskars Vegeris, compartió en privado detalles detallados de las vulnerabilidades que descubrió en una descripción detallada de Slack en enero de este año. Si se explotaran, estos errores habrían permitido a un atacante descargar un archivo y compartirlo con otro usuario o canal de Slack para tomar el control de la computadora de la víctima.
Vulnerabilidades críticas
Vegeris proporcionó más detalles sobre las vulnerabilidades que descubrió en un informe de HackerOne que se hizo público recientemente a petición suya, diciendo:
“Con cualquier redireccionamiento en la aplicación, redireccionamiento lógico / abierto, inyección de HTML o javascript, es posible ejecutar código arbitrario en las aplicaciones de escritorio de Slack. Este informe demuestra un exploit especialmente diseñado que consiste en inyección HTML, omisión de verificación de seguridad y carga útil de RCE de JavaScript. Este exploit ha sido probado para funcionar en las últimas versiones de Slack para escritorio (4.2, 4.3.2) (Mac / Windows / Linux). »
Según el informe, Vegeris mostró múltiples formas en las que las aplicaciones de Slack podrían explotarse para lograr la ejecución de código arbitrario en la computadora de un usuario. Incluso llegó a hacer un video de explotación de prueba de concepto (PoC) que muestra lo fácil que sería para un pirata informático explotar estos errores si no se corrigieran.
El propio Vegeris no estaba contento de recibir solo € 1,750 por revelar múltiples errores, ni tampoco el resto de la comunidad de seguridad. Sin embargo, los pagos que recibió coincidieron con las recompensas detalladas en la página HackerOne de Slack.
Desde entonces, Director de Seguridad de Slack, Larkin Ryder se ha disculpado con Vegeris en la página HackerOne de la compañía después de publicar una publicación de blog que detalla su trabajo sin crédito, que desde entonces ha sido parcheado, diciendo:
“Le escribo para ofrecerle una disculpa muy sincera por cualquier descuido en el reconocimiento de su trabajo. Realmente apreciamos el tiempo y el esfuerzo que dedicó para hacer que Slack sea más seguro. Si bien el equipo de seguridad no escribió esta publicación de blog y el autor no tiene visibilidad de su trabajo en H1, debemos tomar medidas adicionales para asegurarnos de que todos los que han contribuido a los esfuerzos de Se reconoce la mejora en esta área. Estudiaré la actualización apropiada de nuestra publicación de blog. Brandon hará un seguimiento para asegurarse de que estas actualizaciones sean de su agrado y para coordinar su solicitud de divulgación. Una vez más, lamento los errores de nuestra parte. »
Vía BleepingComputer
