Сотрудник HackerOne украл отчеты об ошибках и забрал награды

Сотрудник HackerOne украл отчеты об ошибках и забрал награды

4 июля 2022 г.

Сотрудник платформы по поиску ошибок HackerOne крадет отчеты, отправленные пользователями, и раскрывает информацию затронутым поставщикам, иногда в обмен на финансовое вознаграждение.

В сообщение в блоге, компания раскрыла подробности инцидента, который происходил в течение примерно трех месяцев, и подтвердила, что с тех пор сотрудник был уволен.

HackerOne все еще рассматривает вопрос о возбуждении уголовного дела, сообщает BleepingComputer.

Идентичные отчеты вызывают недоумение

В начале апреля в HackerOne появился новый сотрудник, который в силу своей должности имел доступ к отчетам об ошибках. В этих отчетах указываются уязвимости в различных программах и службах, которые могут быть использованы киберпреступниками для кражи паролей и другой конфиденциальной информации, вредоносное ПО и многое другое.

С самого начала человек начал собирать отчеты и По словам HackerOne, под вымышленным именем они обращались к пострадавшим компаниям, часто в угрожающем и запугивающем тоне.

Сотрудник затем требовал оплату в обмен на раскрытие уязвимости, а в некоторых случаях даже добивался своего. .

HackerOne была предупреждена о возможном мошенничестве, когда один из пострадавших клиентов сообщил, что другой человек «обнаружил» идентичную уязвимость. Хотя обнаружение дубликатов при поиске ошибок не редкость, этот конкретный экземпляр был идентичен до такой степени, что вызвал подозрения, заявили в компании.

Подробнее

> Google увеличивает награду за обнаружение ошибок в Linux< /a>

> 1Password увеличивает максимальную награду за обнаружение ошибок

> Лучшие инструменты управления исправлениями 2022 г.

Вместе с поставщиками платежей HackerOne смогла проследить за деньгами и вскоре обнаружила, что за схемой стоит один из ее сотрудников.

Вскоре после этого она запретила сотруднику доступ к системе и удаленно заблокировали свой ноутбук в ожидании расследования. Расследование показало все отчеты об ошибках, к которым обращался человек, что побудило компанию связаться как с хакерами, обнаружившими ошибки, так и с пострадавшими компаниями.

Компания также заявила, что не все отчеты об ошибках, которые человек, к которому был получен доступ, подвергся насилию. В некоторых случаях доступ осуществлялся в законных целях.

🔥 Популярное на этой неделе

⭐ Самое популярное

Categories


PREVIOUS ARTICLE
NEXT ARTICLE