Сотрудник HackerOne шантажировал клиентов отчетами об уязвимостях

Сотрудник HackerOne украл отчеты об уязвимостях, отправленные через платформу Bug Bounty, и пытался получить денежное вознаграждение у клиентов платформы.

Мошенник связался с несколькими клиентами HackerOne и получил вознаграждение «за несколько уязвимостей».

HackerOne — это bug bounty платформа, соединяющую бизнес и исследователей безопасности. HackerOne является одной из первых компаний, которая использует хакеров в рамках своей бизнес-модели.

22 июня HackerOne ответила на запрос клиента о расследовании раскрытия подозрительной уязвимости через канал связи вне платформы от пользователя под ником «rzlr». Клиент заметил, что такая же проблема безопасности ранее была отправлена ​​​​через HackerOne.

Коллизии ошибок, когда несколько исследователей обнаруживают и сообщают об одной и той же проблеме безопасности, случаются часто - в этом случае подлинный отчет и отчет от злоумышленника имели очевидные сходства, которые побудили к более внимательному расследованию инцидента.

Расследование HackerOne установило, что один из ее сотрудников имел доступ к платформе с 4 апреля по 23 июня, и связался с семью компаниями, чтобы сообщить об уязвимостях, уже обнаруженных в системе.

Злоумышленник смог получить вознаграждение за некоторые отчеты. HackerOne проследил денежный след и идентифицировал преступника как одного из своих сотрудников, который занимался раскрытием информации об уязвимостях.

В результате, — по словам HackerOne, — им пришлось признать инцидент. Компани уверена, что перекрыла инсайдерский доступ. Внутренние угрозы — одни из самых коварных в кибербезопасности, и мы готовы сделать все, что в наших силах, чтобы уменьшить вероятность подобных инцидентов в будущем, сообщили в компании.