HackerOne内部员工窃取漏洞报告

admin
admin
admin
138858
文章
114
评论
2022年7月4日19:35:17评论55 views字数 1059阅读3分31秒阅读模式

HackerOne内部员工窃取漏洞报告

编辑:左右里


HackerOne是一个漏洞赏金中介平台,主要协调漏洞披露并为提交安全报告的漏洞赏金猎人提供奖励。该公司于周五表示,其一名员工窃取了通过该平台提交的漏洞报告,并将这些漏洞向受影响的客户披露,以赚取漏洞赏金。

事情从6月22日说起,一位HackerOne客户注意到某位漏洞提交者的漏洞披露报告与之前通过HackerOne提交的现有披露类似,要求HackerOne调查该人的可疑漏洞披露。多位安全研究人员分别独立发现同一漏洞的这种情况时有发生,但这位客户怀疑这次并不是巧合,并提供了详细的推理。HackerOne安全团队认真对待此事,回应了这项客户请求,并立即展开了调查。

然后,HackerOne发现,多位研究员发现并报告同一安全问题的情况出现频繁得不自然,并且两份报告具有明显的相似之处,这促使调查人员更深入调查此事。

最终,HackerOne的调查确定,其内部一名员工自4月4日加入该公司以来,直到6月23日,已经访问了该平台的漏洞报告两个多月,并联系了七家公司报告已经通过HackerOne系统披露的漏洞。

HackerOne表示,这名员工是对漏洞披露报告进行分类的工作人员之一。在开始调查后不到24小时,HackerOne就锁定了嫌疑人,终止了其系统访问权限,并远程锁定了其笔记本电脑,等待调查。

在接下来的几天里,HackerOne对嫌疑人的计算机进行了远程取证和分析,并完成了对该员工在就业期间的数据访问日志的审查,以确定嫌疑人与之交互的所有漏洞赏金程序。

HackerOne表示,在绝大多数情况下,没有证据表明漏洞数据被滥用。



资讯来源:bleepingcomputer

转载请注明出处和本文链接



每日涨知识

钓鱼网站

指欺骗用户的虚假网站,“钓鱼网站”的页面与真实网站的界面基本一致,欺骗消费者或者窃取访问者提交的账号和密码信息。钓鱼网站一般只有一个或几个页面,和真实网站差别细微。

HackerOne内部员工窃取漏洞报告


推荐文章++++

RansomHouse团伙声称从AMD窃取了450GB的数据
涉案金额超8800万美元!Avaya员工因销售盗版许可证被起诉
CafePress因数据保护不力被罚款50万美元
价值近一亿美元,Harmony巨额加密货币资产失窃
热搜第一!QQ大批账号被盗、发送不雅图片
严重PHP漏洞使威联通设备面临远程代码执行风险
Lookout发现在哈萨克斯坦使用的Android间谍软件






HackerOne内部员工窃取漏洞报告


HackerOne内部员工窃取漏洞报告

球分享

HackerOne内部员工窃取漏洞报告

球点赞

HackerOne内部员工窃取漏洞报告

球在看



HackerOne内部员工窃取漏洞报告
“阅读原文一起来充电吧!

原文始发于微信公众号(看雪学苑):HackerOne内部员工窃取漏洞报告

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月4日19:35:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   HackerOne内部员工窃取漏洞报告https://cn-sec.com/archives/1156611.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息