HackerOne內部員工竊取漏洞報告

編輯：左右裡

HackerOne是一個漏洞賞金中介平臺，主要協調漏洞披露併為提交安全報告的漏洞賞金獵人提供獎勵。該公司於週五表示，其一名員工竊取了透過該平臺提交的漏洞報告，並將這些漏洞向受影響的客戶披露，以賺取漏洞賞金。

事情從6月22日說起，一位HackerOne客戶注意到某位漏洞提交者的漏洞披露報告與之前透過HackerOne提交的現有披露類似，要求HackerOne調查該人的可疑漏洞披露。多位安全研究人員分別獨立發現同一漏洞的這種情況時有發生，但這位客戶懷疑這次並不是巧合，並提供了詳細的推理。HackerOne安全團隊認真對待此事，回應了這項客戶請求，並立即展開了調查。

然後，HackerOne發現，多位研究員發現並報告同一安全問題的情況出現頻繁得不自然，並且兩份報告具有明顯的相似之處，這促使調查人員更深入調查此事。

最終，HackerOne的調查確定，其內部一名員工自4月4日加入該公司以來，直到6月23日，已經訪問了該平臺的漏洞報告兩個多月，並聯絡了七家公司報告已經透過HackerOne系統披露的漏洞。

HackerOne表示，這名員工是對漏洞披露報告進行分類的工作人員之一。在開始調查後不到24小時，HackerOne就鎖定了嫌疑人，終止了其系統訪問許可權，並遠端鎖定了其膝上型電腦，等待調查。

在接下來的幾天裡，HackerOne對嫌疑人的計算機進行了遠端取證和分析，並完成了對該員工在就業期間的資料訪問日誌的審查，以確定嫌疑人與之互動的所有漏洞賞金程式。

HackerOne表示，在絕大多數情況下，沒有證據表明漏洞資料被濫用。

資訊來源：bleepingcomputer

轉載請註明出處和本文連結

每日漲知識

釣魚網站

指欺騙使用者的虛假網站，“釣魚網站”的頁面與真實網站的介面基本一致，欺騙消費者或者竊取訪問者提交的賬號和密碼資訊。釣魚網站一般只有一個或幾個頁面，和真實網站差別細微。

推薦文章++++

* RansomHouse團伙聲稱從AMD竊取了450GB的資料

* 涉案金額超8800萬美元！Avaya員工因銷售盜版許可證被起訴

* CafePress因資料保護不力被罰款50萬美元

* 價值近一億美元，Harmony鉅額加密貨幣資產失竊

* 熱搜第一！QQ大批賬號被盜、傳送不雅圖片

* 嚴重PHP漏洞使威聯通裝置面臨遠端程式碼執行風險

* Lookout發現在哈薩克使用的Android間諜軟體

﹀

﹀

﹀