一名HackerOne员工窃取了通过漏洞赏金平台提交的漏洞报告,并将其披露给受影响的客户以索取经济奖励。该公司周五表示,这名流氓工人已经联系了大约六名HackerOne客户,并“在少数披露中”收取了赏金。
6月22日,HackerOne回应了客户的请求,要求调查来自使用“rzlr”句柄的人通过平台外通信渠道泄露的可疑漏洞。客户注意到之前通过HackerOne提交了相同的安全问题。多个研究人员发现并报告相同的安全问题的错误冲突很常见;在这种情况下,真实报告和来自威胁行为者的报告具有明显的相似之处,因此需要仔细观察。
HackerOne的调查确定,其一名员工自4月4日至6月23日加入公司以来,已访问该平台两个多月,并联系了七家公司报告已通过其系统披露的漏洞。
该公司表示,这名流氓员工因提交的一些报告而获得了赏金。这使HackerOne能够追踪资金追踪并将肇事者识别为其为“众多客户程序”分类漏洞披露的工作人员之一。
“威胁参与者创建了一个HackerOne sockpuppet帐户,并在少数披露中获得了赏金。在确定这些赏金可能不合适后,HackerOne联系了相关的支付提供商,他们与我们合作提供了更多信息”
分析威胁参与者的网络流量揭示了更多证据,这些证据表明他们在HackerOne上的主要账户和sockpuppet账户相关联。在开始调查后不到24小时,漏洞赏金平台就确定了威胁参与者,终止了他们的系统访问权限,并远程锁定了他们的笔记本电脑等待调查。在接下来的几天里,HackerOne对嫌疑人的计算机进行了远程取证成像和分析,并完成了对该员工在雇佣期间的数据访问日志的审查,以确定威胁参与者与之交互的所有漏洞赏金计划。6月30日HackerOne终止了对威胁参与者的雇佣。“
在与律师审查后,我们将决定对此事进行刑事转介是否合适。我们继续对前雇员产生的日志和使用的设备进行取证分析”。
HackerOne指出,其前员工在与客户的互动中使用了“威胁”和“恐吓”语言,并敦促客户在收到以攻击性语气披露的信息时与公司联系。该公司表示,“在绝大多数情况下”,它没有证据表明漏洞数据被滥用。但是,内部威胁参与者出于恶意或合法目的访问了报告的客户,已分别被告知每个漏洞披露的访问日期和时间。
![HackerOne员工窃取漏洞报告出售]( "HackerOne员工窃取漏洞报告出售")
原文始发于微信公众号(雾晓安全):HackerOne员工窃取漏洞报告出售
评论