一名HackerOne員工竊取了通過漏洞賞金平台提交的漏洞報告並將其披露給受影響的客戶以索取經濟獎勵。該公司於當地時間周五表示,這名流氓員工聯繫了7名客戶並在少數披露中獲取了賞金。
HackerOne是一個協調漏洞披露的平台並為提交安全報告的漏洞獵手提供貨幣獎勵的中介。
抓住罪魁禍首
6月22日,HackerOne回應了一個客戶的請求,通過一個使用“rzlr”工具的人的非平台通信渠道調查一個可疑的漏洞披露。
該客戶注意到,同樣的安全問題之前已經通過HackerOne提交。
漏洞碰撞即多個研究人員發現並報告相同的安全問題是經常發生的;在這種情況下,真正的報告和來自威脅行為者的報告有明顯的相似之處從而促使人們仔細觀察。
HackerOne的調查確定,其一名員工自4月4日加入公司至6月23日有兩個多月的時間可以訪問該平台並聯繫了七家公司,報告已經通過其系統披露的漏洞。
威脅行為者謀取了報酬
該公司表示,流氓僱員為他們提交的一些報告獲得了報酬。這使得HackerOne能跟蹤錢的去向並確定肇事者是其為“眾多客戶項目”分流漏洞披露的工作人員之一。
HackerOne披露稱:“該威脅行為者創建了一個HackerOne的傀儡賬戶並在少數幾個披露中獲得了賞金。在發現這些賞金可能是不正當的后,HackerOne聯繫了相關的支付供應商,他們跟我們合作以提供了更多的信息。”
分析該威脅者的網絡流量發現了更多的證據,從而將他們在HackerOne上的主要賬戶和傀儡賬戶聯繫起來。
在開始調查后不到24小時,該漏洞賞金平台確定了威脅行為者、終止了他們的系統訪問並在調查期間遠程鎖定了他們的筆記本電腦。
在接下來的幾天里,HackerOne對嫌疑人的電腦進行了遠程取證成像和分析並完成了對該員工在工作期間的數據訪問日誌的審查,以此確定了該威脅行為人與之互動的所有漏洞賞金項目。
6月30日,HackerOne終止了對該威脅行為者的僱用。
“根據跟律師的審查,我們將決定對此事進行刑事移交是否合適。我們繼續對前僱員產生的日誌和使用的設備進行取證分析,” HackerOne說道。
HackerOne指出,其前僱員在跟客戶的互動中使用了“威脅性”和“恐嚇性”語言,另外還敦促客戶在收到以攻擊性語氣進行的披露時跟公司聯繫。
該公司表示,在絕大多數情況下,它沒有證據表明漏洞數據被濫用。然而被內部威脅行為者訪問的報告–無論是出於邪惡還是合法的目的–都已經被單獨告知每個漏洞披露的訪問日期和時間。