HackerOne 员工窃取漏洞报告,向受影响客户索取钱财

dfca4ba2d1da5498b522e254c31020b9.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

HackerOne 平台的一名员工窃取了通过该平台提交的多份漏洞报告,并将报告披露给受影响客户,获得经济报酬。

这名员工已经联系了约6名HackerOne 客户并“在几次漏洞披露中”获得奖励。

fec4c64ab50f504cdae0c7b702ad229b.gif

捉拿罪魁祸首

6月22日,HackerOne 平台的一名客户要求调查一起可疑的漏洞披露事件,名为 “rzlr”的人员通过平台以外的通信渠道披露了漏洞。这名客户注意到,此前已通过 HackerOne 平台提交过同样的安全问题。

撞洞是指多名研究员发现并报告了同样的漏洞问题,这种情况很常见;在本案例中,真正的漏洞报告和来自威胁行动者的报告之间有很多值得仔细审查的相似之处。HackerOne 平台调查后发现,其中一名员工在两个多月(4月4日至6月23日)的时间里有访问该平台的权限,并联系了7家公司向它们报告已通过HackerOne 系统披露的漏洞。

25efe57f5310cd89503747c483d8fba1.gif

获得报酬

HackerOne 平台指出,这名恶意员工因其中的某些漏洞报告得到了经济报酬。该平台通过追踪款项来源后发现,始作俑者是负责为“很多客户计划”分类漏洞披露的其中一名员工。

HackerOne 通过和相关的支付提供商联系后获得更多信息。该平台分析该威胁行动者的网络流量后找到了原始账户和马甲账户相关联的更多证据。在调查开启后不到24小时内,HackerOne 锁定了这些员工,禁用了他们的系统访问权限并远程锁定笔记本以等待质询。几天后,HackerOne 对嫌疑人的计算机进行了远程取证成像和分析,并完成对该名员工在职期间数据访问日志的审计,判断他曾参与的漏洞奖励计划。

6月30日,HackerOne 平台终止了与这名员工的雇佣关系。该平台提到,这名离职员工使用“威胁性”和“恐吓性”语言与客户进行交流,以攻击性语调督促客户如收到漏洞披露情况,则与该公司取得联系。该平台指出,“在大多数案例中”,并未有漏洞数据遭滥用的证据。然而,HackerOne 指出,已经单独联系出于恶意或合法目的而导致漏洞报告遭访问的客户,告知他们漏洞披露遭访问的日期和时间。另外,还将该该消息告知漏洞报告遭访问的黑客,并提供了该员工合法或恶意访问的报告清单。


代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com


推荐阅读

HackerOne 谈如何保护软件供应链安全

HackerOne 发布2021年《黑客驱动安全报告:行业洞察》

HackerOne漏洞奖励计划扩展至开源漏洞

HackerOne 发布《2021年黑客报告》:黑客的动力、发展和未来

HackerOne 平台诞生首个收入超200万美元的赏金猎人

原文链接

https://www.bleepingcomputer.com/news/security/rogue-hackerone-employee-steals-bug-reports-to-sell-on-the-side/

题图:Pexels

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

cc65b578adc6b5e508e6a823d1933163.jpeg

f9c5d6252632e842f5e07f9ff4c3217b.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   5258c494ca842f426fd91d24a542412f.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值