Сотрудник HackerOne шантажировал клиентов отчетами об уязвимостях

HackerOne мошенник инсайдер bug bounty уязвимость белый хакер
Злоумышленник смог получить вознаграждение за некоторые отчеты.

Сотрудник HackerOne шантажировал клиентов отчетами об уязвимостях

Сотрудник HackerOne украл отчеты об уязвимостях, отправленные через платформу Bug Bounty, и пытался получить денежное вознаграждение у клиентов платформы.
Мошенник связался с несколькими клиентами HackerOne и получил вознаграждение «за несколько уязвимостей».
HackerOne — это bug bounty платформа, соединяющую бизнес и исследователей безопасности. HackerOne является одной из первых компаний, которая использует хакеров в рамках своей бизнес-модели.
22 июня HackerOne ответила на запрос клиента о расследовании раскрытия подозрительной уязвимости через канал связи вне платформы от пользователя под ником «rzlr». Клиент заметил, что такая же проблема безопасности ранее была отправлена через HackerOne.
Коллизии ошибок, когда несколько исследователей обнаруживают и сообщают об одной и той же проблеме безопасности, случаются часто — в этом случае подлинный отчет и отчет от злоумышленника имели очевидные сходства, которые побудили к более внимательному расследованию инцидента.
Расследование HackerOne установило, что один из ее сотрудников имел доступ к платформе с 4 апреля по 23 июня, и связался с семью компаниями, чтобы сообщить об уязвимостях, уже обнаруженных в системе.
Злоумышленник смог получить вознаграждение за некоторые отчеты. HackerOne проследил денежный след и идентифицировал преступника как одного из своих сотрудников, который занимался раскрытием информации об уязвимостях.
В результате, — по словам HackerOne, — им пришлось признать инцидент. Компани уверена, что перекрыла инсайдерский доступ. Внутренние угрозы — одни из самых коварных в кибербезопасности, и мы готовы сделать все, что в наших силах, чтобы уменьшить вероятность подобных инцидентов в будущем, сообщили в компании.

SECURITYLAB.RU

Источник