Краткое содержание

Краткое изложение: Наша исследовательская группа сообщила о двух находках, связанных с учетными данными, в официальные программы поиска уязвимостей (баг-боунти). Это был токен бота Slack, который был раскрыт в публичном репозитории GitHub в течение 3 лет, и ключ API администратора Asana, который был раскрыт в публичном репозитории GitHub в течение 2 лет. В обоих случаях ответ был: «Вне области действия». Обе организации активно использовали затронутые системы, отозвали ключи и провели более широкие внутренние проверки на основании этих данных. Официальная классификация все равно осталась «вне области действия». Мы написали статью о том, почему это происходит постоянно, и предложили систему оценки по 6 осям для устранения пробела в оценке после обнаружения, который не покрывают OWASP API Top 10, CWE-798, NIST SP 800-53 и NIST CSF 2.0 (поскольку все они являются превентивными фреймворками). В статье освещены следующие моменты: Почему раскрытие учетных данных не соответствует модели уязвимость-эксплуатация-воздействие, на основе которой построены программы баг-боунти. Утечка ключа API — это не недостаток, ожидающий эксплуатации. Это доступ. Обычный расчет серьезности нарушается. Шесть осей, которые действительно важны для оценки серьезности учетных данных после обнаружения: П