信息來源:安全內參
HackerOne 平臺的一名員工竊取了通過該平臺提交的多份漏洞報告,并將報告披露給受影響客戶�����,獲得經濟報酬�����。
這名員工已經聯系了約6名HackerOne 客戶并“在幾次漏洞披露中”獲得獎勵�����。
捉拿罪魁禍首
6月22日�����,HackerOne 平臺的一名客戶要求調查一起可疑的漏洞披露事件�����,名為 “rzlr”的人員通過平臺以外的通信渠道披露了漏洞�����。這名客戶注意到�����,此前已通過 HackerOne 平臺提交過同樣的安全問題�����。
撞洞是指多名研究員發(fā)現并報告了同樣的漏洞問題�����,這種情況很常見�����;在本案例中,真正的漏洞報告和來自威脅行動者的報告之間有很多值得仔細審查的相似之處�����。HackerOne 平臺調查后發(fā)現�����,其中一名員工在兩個多月(4月4日至6月23日)的時間里有訪問該平臺的權限�����,并聯系了7家公司向它們報告已通過HackerOne 系統披露的漏洞�����。
獲得報酬
HackerOne 平臺指出�����,這名惡意員工因其中的某些漏洞報告得到了經濟報酬�����。該平臺通過追蹤款項來源后發(fā)現�����,始作俑者是負責為“很多客戶計劃”分類漏洞披露的其中一名員工�����。
HackerOne 通過和相關的支付提供商聯系后獲得更多信息�����。該平臺分析該威脅行動者的網絡流量后找到了原始賬戶和馬甲賬戶相關聯的更多證據�����。在調查開啟后不到24小時內�����,HackerOne 鎖定了這些員工�����,禁用了他們的系統訪問權限并遠程鎖定筆記本以等待質詢�����。幾天后,HackerOne 對嫌疑人的計算機進行了遠程取證成像和分析�����,并完成對該名員工在職期間數據訪問日志的審計�����,判斷他曾參與的漏洞獎勵計劃�����。
6月30日�����,HackerOne 平臺終止了與這名員工的雇傭關系�����。該平臺提到�����,這名離職員工使用“威脅性”和“恐嚇性”語言與客戶進行交流�����,以攻擊性語調督促客戶如收到漏洞披露情況�����,則與該公司取得聯系�����。該平臺指出�����,“在大多數案例中”�����,并未有漏洞數據遭濫用的證據�����。然而�����,HackerOne 指出,已經單獨聯系出于惡意或合法目的而導致漏洞報告遭訪問的客戶�����,告知他們漏洞披露遭訪問的日期和時間�����。另外�����,還將該該消息告知漏洞報告遭訪問的黑客�����,并提供了該員工合法或惡意訪問的報告清單�����。
