HackerOne员工窃取漏洞报告出售

admin 2022年7月5日10:44:27安全新闻评论4 views987字阅读3分17秒阅读模式
一名HackerOne员工窃取了通过漏洞赏金平台提交的漏洞报告,并将其披露给受影响的客户以索取经济奖励。该公司周五表示,这名流氓工人已经联系了大约六名HackerOne客户,并“在少数披露中”收取了赏金。
罪魁祸首
6月22日,HackerOne回应了客户的请求,要求调查来自使用“rzlr”句柄的人通过平台外通信渠道泄露的可疑漏洞。客户注意到之前通过HackerOne提交了相同的安全问题。多个研究人员发现并报告相同的安全问题的错误冲突很常见;在这种情况下,真实报告和来自威胁行为者的报告具有明显的相似之处,因此需要仔细观察。
HackerOne的调查确定,其一名员工自4月4日至6月23日加入公司以来,已访问该平台两个多月,并联系了七家公司报告已通过其系统披露的漏洞。
威胁行动者得到报酬
该公司表示,这名流氓员工因提交的一些报告而获得了赏金。这使HackerOne能够追踪资金追踪并将肇事者识别为其为“众多客户程序”分类漏洞披露的工作人员之一。
“威胁参与者创建了一个HackerOne sockpuppet帐户,并在少数披露中获得了赏金。在确定这些赏金可能不合适后,HackerOne联系了相关的支付提供商,他们与我们合作提供了更多信息”
分析威胁参与者的网络流量揭示了更多证据,这些证据表明他们在HackerOne上的主要账户和sockpuppet账户相关联。在开始调查后不到24小时,漏洞赏金平台就确定了威胁参与者,终止了他们的系统访问权限,并远程锁定了他们的笔记本电脑等待调查。在接下来的几天里,HackerOne对嫌疑人的计算机进行了远程取证成像和分析,并完成了对该员工在雇佣期间的数据访问日志的审查,以确定威胁参与者与之交互的所有漏洞赏金计划。6月30日HackerOne终止了对威胁参与者的雇佣。“
在与律师审查后,我们将决定对此事进行刑事转介是否合适。我们继续对前雇员产生的日志和使用的设备进行取证分析”。
HackerOne指出,其前员工在与客户的互动中使用了“威胁”和“恐吓”语言,并敦促客户在收到以攻击性语气披露的信息时与公司联系。该公司表示,“在绝大多数情况下”,它没有证据表明漏洞数据被滥用。但是,内部威胁参与者出于恶意或合法目的访问了报告的客户,已分别被告知每个漏洞披露的访问日期和时间。

HackerOne员工窃取漏洞报告出售

原文始发于微信公众号(雾晓安全):HackerOne员工窃取漏洞报告出售

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月5日10:44:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  HackerOne员工窃取漏洞报告出售 http://cn-sec.com/archives/1155134.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: