Pracownik platformy HackerOne bug bounty ukradł raporty przesłane przez użytkowników i ujawnił informacje zainteresowanym dostawcom, czasami za nagrodę finansową.
W poście na blogu (otwiera się w nowej karcie) firma ujawniła szczegóły incydentu, który miał miejsce na przestrzeni około trzech miesięcy, i potwierdziła, że pracownik został już zwolniony.
HackerOne wciąż rozważa, czy wszcząć postępowanie karne, poinformował BleepingComputer.
Identyczne doniesienia, które budzą zdziwienie
Na początku kwietnia HackerOne zatrudnił nowego pracownika, który ze względu na swoje stanowisko miał dostęp do raportów o błędach. Raporty te podkreślają luki w zabezpieczeniach różnych programów i usług, które cyberprzestępcy mogą wykorzystywać do kradzieży haseł i innych poufnych informacji, rozpowszechniania złośliwego oprogramowania i nie tylko.
Początkowo osoba ta zaczęła zbierać raporty i pod przybranym nazwiskiem komunikować się z zaangażowanymi firmami, często w groźnym i zastraszającym tonie, powiedział HackerOne.
Pracownik zażądałby wówczas zapłaty w zamian za ujawnienie luki w zabezpieczeniach, aw niektórych przypadkach nawet otrzymałby to, czego chciał.
HackerOne został powiadomiony o możliwym oszustwie, gdy jeden z klientów, których dotyczy problem, skontaktował się z nim, aby powiedzieć, że ktoś inny „odkrył” identyczną lukę. Chociaż zduplikowane wyniki wyszukiwania błędów nie są rzadkością, ten konkretny przypadek był tak identyczny, że wzbudził podejrzenia, powiedziała firma.
Współpracując z dostawcami usług płatniczych, HackerOne był w stanie wyśledzić pieniądze i wkrótce odkrył, że za schematem stoi jeden z jego pracowników.
Wkrótce potem zakazał pracownikowi dostępu do systemu i zdalnie zablokował jego laptopa do czasu dochodzenia. Dochodzenie ujawniło raporty o błędach, do których ta osoba miała dostęp, co skłoniło firmę do skontaktowania się zarówno z hakerami, którzy odkryli błędy, jak i z firmami, których dotyczy problem.
Firma stwierdziła również, że raporty o błędach, do których ta osoba uzyskała dostęp, nie były nadużywane. W niektórych przypadkach dostęp odbywał się w uzasadnionych celach.
Przez: BleepingComputer (Otwiera się w nowej karcie)