信息來源:安全內(nèi)參
HackerOne 平臺的一名員工竊取了通過該平臺提交的多份漏洞報告,并將報告披露給受影響客戶,獲得經(jīng)濟報酬。
這名員工已經(jīng)聯(lián)系了約6名HackerOne 客戶并“在幾次漏洞披露中”獲得獎勵。
捉拿罪魁禍首
6月22日,HackerOne 平臺的一名客戶要求調(diào)查一起可疑的漏洞披露事件,名為 “rzlr”的人員通過平臺以外的通信渠道披露了漏洞。這名客戶注意到,此前已通過 HackerOne 平臺提交過同樣的安全問題。
撞洞是指多名研究員發(fā)現(xiàn)并報告了同樣的漏洞問題,這種情況很常見;在本案例中,真正的漏洞報告和來自威脅行動者的報告之間有很多值得仔細審查的相似之處。HackerOne 平臺調(diào)查后發(fā)現(xiàn),其中一名員工在兩個多月(4月4日至6月23日)的時間里有訪問該平臺的權(quán)限,并聯(lián)系了7家公司向它們報告已通過HackerOne 系統(tǒng)披露的漏洞。
獲得報酬
HackerOne 平臺指出,這名惡意員工因其中的某些漏洞報告得到了經(jīng)濟報酬。該平臺通過追蹤款項來源后發(fā)現(xiàn),始作俑者是負責為“很多客戶計劃”分類漏洞披露的其中一名員工。
HackerOne 通過和相關(guān)的支付提供商聯(lián)系后獲得更多信息。該平臺分析該威脅行動者的網(wǎng)絡(luò)流量后找到了原始賬戶和馬甲賬戶相關(guān)聯(lián)的更多證據(jù)。在調(diào)查開啟后不到24小時內(nèi),HackerOne 鎖定了這些員工,禁用了他們的系統(tǒng)訪問權(quán)限并遠程鎖定筆記本以等待質(zhì)詢。幾天后,HackerOne 對嫌疑人的計算機進行了遠程取證成像和分析,并完成對該名員工在職期間數(shù)據(jù)訪問日志的審計,判斷他曾參與的漏洞獎勵計劃。
6月30日,HackerOne 平臺終止了與這名員工的雇傭關(guān)系。該平臺提到,這名離職員工使用“威脅性”和“恐嚇性”語言與客戶進行交流,以攻擊性語調(diào)督促客戶如收到漏洞披露情況,則與該公司取得聯(lián)系。該平臺指出,“在大多數(shù)案例中”,并未有漏洞數(shù)據(jù)遭濫用的證據(jù)。然而,HackerOne 指出,已經(jīng)單獨聯(lián)系出于惡意或合法目的而導(dǎo)致漏洞報告遭訪問的客戶,告知他們漏洞披露遭訪問的日期和時間。另外,還將該該消息告知漏洞報告遭訪問的黑客,并提供了該員工合法或惡意訪問的報告清單。