🔥 15-летний хакер обнаружил уязвимость в безопасности сотен крупнейших компаний

В начале 2024 года 15-летний программист по имени Даниэль открыл серьезную уязвимость в системе Zendesk — популярном сервисе поддержки клиентов, которым пользуются такие гиганты, как Cloudflare и прочие компании из списка Fortune 500.

Эта уязвимость позволяла злоумышленникам получать доступ к внутренним перепискам компаний, эксплуатируя уязвимость в обработке электронных писем.

Суть проблемы

Zendesk использует автоматическую систему создания тикетов на основе электронных писем.

Злоумышленники могли отправить поддельное письмо от имени пользователя внутри команды и, воспользовавшись функцией совместной работы, добавить свой адрес в тикет, получая доступ ко всей истории переписки.

Поскольку многие компании интегрировали Zendesk с системой единого входа (SSO), такая атака могла привести к захвату аккаунтов в таких сервисах, как Slack.

Проблема с политикой Zendesk

После обнаружения уязвимости, Даниэль обратился в программу вознаграждений за уязвимости Zendesk через платформу HackerOne, однако его сообщение было отклонено, так как использованная техника считалась «вне рамок».

Несмотря на это, после того как Даниэль стал уведомлять компании напрямую, Zendesk пересмотрела свою позицию и признала проблему.

Последствия

Даниэль заработал более $50 тыс за сообщения о проблеме различным компаниям, однако сам Zendesk не выплатил вознаграждение.

Через два месяца компания исправила уязвимость, добавив дополнительные меры безопасности, но оставив юного исследователя без награды.