HackerOne內部員工竊取漏洞報告

Editor發表於2022-07-04

HackerOne內部員工竊取漏洞報告

編輯:左右裡


HackerOne是一個漏洞賞金中介平臺,主要協調漏洞披露併為提交安全報告的漏洞賞金獵人提供獎勵。該公司於週五表示,其一名員工竊取了透過該平臺提交的漏洞報告,並將這些漏洞向受影響的客戶披露,以賺取漏洞賞金。


事情從6月22日說起,一位HackerOne客戶注意到某位漏洞提交者的漏洞披露報告與之前透過HackerOne提交的現有披露類似,要求HackerOne調查該人的可疑漏洞披露。多位安全研究人員分別獨立發現同一漏洞的這種情況時有發生,但這位客戶懷疑這次並不是巧合,並提供了詳細的推理。HackerOne安全團隊認真對待此事,回應了這項客戶請求,並立即展開了調查。


然後,HackerOne發現,多位研究員發現並報告同一安全問題的情況出現頻繁得不自然,並且兩份報告具有明顯的相似之處,這促使調查人員更深入調查此事。


最終,HackerOne的調查確定,其內部一名員工自4月4日加入該公司以來,直到6月23日,已經訪問了該平臺的漏洞報告兩個多月,並聯絡了七家公司報告已經透過HackerOne系統披露的漏洞。


HackerOne表示,這名員工是對漏洞披露報告進行分類的工作人員之一。在開始調查後不到24小時,HackerOne就鎖定了嫌疑人,終止了其系統訪問許可權,並遠端鎖定了其膝上型電腦,等待調查。


在接下來的幾天裡,HackerOne對嫌疑人的計算機進行了遠端取證和分析,並完成了對該員工在就業期間的資料訪問日誌的審查,以確定嫌疑人與之互動的所有漏洞賞金程式。


HackerOne表示,在絕大多數情況下,沒有證據表明漏洞資料被濫用。




資訊來源:bleepingcomputer

轉載請註明出處和本文連結



每日漲知識

釣魚網站

指欺騙使用者的虛假網站,“釣魚網站”的頁面與真實網站的介面基本一致,欺騙消費者或者竊取訪問者提交的賬號和密碼資訊。釣魚網站一般只有一個或幾個頁面,和真實網站差別細微。

HackerOne內部員工竊取漏洞報告


推薦文章++++

RansomHouse團伙聲稱從AMD竊取了450GB的資料

涉案金額超8800萬美元!Avaya員工因銷售盜版許可證被起訴

CafePress因資料保護不力被罰款50萬美元

價值近一億美元,Harmony鉅額加密貨幣資產失竊

熱搜第一!QQ大批賬號被盜、傳送不雅圖片

嚴重PHP漏洞使威聯通裝置面臨遠端程式碼執行風險

Lookout發現在哈薩克使用的Android間諜軟體







HackerOne內部員工竊取漏洞報告


相關文章