HackerOne内部员工窃取漏洞报告

admin

101231
文章

87
评论

2022年7月4日19:35:17评论40 views字数 1059阅读3分31秒阅读模式

HackerOne内部员工窃取漏洞报告

编辑：左右里

HackerOne是一个漏洞赏金中介平台，主要协调漏洞披露并为提交安全报告的漏洞赏金猎人提供奖励。该公司于周五表示，其一名员工窃取了通过该平台提交的漏洞报告，并将这些漏洞向受影响的客户披露，以赚取漏洞赏金。

事情从6月22日说起，一位HackerOne客户注意到某位漏洞提交者的漏洞披露报告与之前通过HackerOne提交的现有披露类似，要求HackerOne调查该人的可疑漏洞披露。多位安全研究人员分别独立发现同一漏洞的这种情况时有发生，但这位客户怀疑这次并不是巧合，并提供了详细的推理。HackerOne安全团队认真对待此事，回应了这项客户请求，并立即展开了调查。

然后，HackerOne发现，多位研究员发现并报告同一安全问题的情况出现频繁得不自然，并且两份报告具有明显的相似之处，这促使调查人员更深入调查此事。

最终，HackerOne的调查确定，其内部一名员工自4月4日加入该公司以来，直到6月23日，已经访问了该平台的漏洞报告两个多月，并联系了七家公司报告已经通过HackerOne系统披露的漏洞。

HackerOne表示，这名员工是对漏洞披露报告进行分类的工作人员之一。在开始调查后不到24小时，HackerOne就锁定了嫌疑人，终止了其系统访问权限，并远程锁定了其笔记本电脑，等待调查。

在接下来的几天里，HackerOne对嫌疑人的计算机进行了远程取证和分析，并完成了对该员工在就业期间的数据访问日志的审查，以确定嫌疑人与之交互的所有漏洞赏金程序。

HackerOne表示，在绝大多数情况下，没有证据表明漏洞数据被滥用。

资讯来源：bleepingcomputer

转载请注明出处和本文链接

每日涨知识

钓鱼网站

指欺骗用户的虚假网站，“钓鱼网站”的页面与真实网站的界面基本一致，欺骗消费者或者窃取访问者提交的账号和密码信息。钓鱼网站一般只有一个或几个页面，和真实网站差别细微。

HackerOne内部员工窃取漏洞报告