Η μεγαλύτερη πλατφόρμα επιβράβευσης σφαλμάτων HackerOne είπε ότι απέλυσε έναν υπάλληλο που έλαβε πρόσβαση σε αναφορές σφαλμάτων που υποβλήθηκαν από εξωτερικούς ερευνητές και υπέβαλε τις ίδιες αναφορές αλλού για προσωπικό όφελος.
Δείτε επίσης: Η Django διορθώνει ευπάθεια SQL Injection στις νέες εκδόσεις
Η HackerOne είναι μια πλατφόρμα επιβράβευσης σφαλμάτων στην οποία έχουν στραφεί οι μεγάλες εταιρείες και τα κυβερνητικά τμήματα για να διαχειριστούν τα bug bounties τους. Η HackerOne λαμβάνει αναφορές σφαλμάτων από ηθικούς χάκερ σχετικά με το λογισμικό και, στη συνέχεια, εσωτερικά δοκιμάζει τις αναφορές για να καθορίσει εάν θα πληρώσει ή όχι ανταμοιβές σε αυτούς που τις αναφέρουν.
Διακυβεύονται πολλά χρήματα. Μέχρι το 2020, το HackerOne είχε πληρώσει πάνω από 100 εκατομμύρια δολάρια σε συμμετέχοντες που είχαν αναφέρει πάνω από 181.000 ευπάθειες μέσω bounties που διαχειρίζεται από την κυκλοφορία το 2012. Πέρυσι το Zoom, ένας πελάτης του HackerOne, πλήρωσε 1,4 εκατομμύρια δολάρια μέσω των διαχειριζόμενων bounties του HackerOne.
Δείτε επίσης: Διακομιστές ταξιδιωτικής εταιρείας κατασχέθηκαν λόγω παραβίασης
Ο συνιδρυτής του HackerOne και CISO Chris Evans είπε σε μια ανάρτηση την Παρασκευή ότι ένας υπάλληλος – ο ρόλος του οποίου ήταν να διαλογίζει σφάλματα για πολλά bounty programs – είχε εσφαλμένη πρόσβαση σε αναφορές ασφαλείας κάποια στιγμή μεταξύ 4 Απριλίου και 22 Ιουνίου και στη συνέχεια διέρρευσε πληροφορίες εκτός της πλατφόρμας HackerOne για διεκδίκηση πρόσθετων επιδομάτων αλλού.
Ο υπάλληλος έλαβε άδικα επιδόματα σε μια “χούφτα αποκαλύψεων”, σύμφωνα με τον Evans.
Η εταιρεία ερεύνησε το περιστατικό αφού έλαβε μια καταγγελία από έναν πελάτη στις 22 Ιουνίου ζητώντας της να διερευνήσει «μια ύποπτη αποκάλυψη ευπάθειας που έγινε εκτός της πλατφόρμας HackerOne».
Ο Evans είπε ότι ο πρώην υπάλληλος αποκάλυψε ανώνυμα αυτές τις πληροφορίες ευπάθειας εκτός της πλατφόρμας HackerOne με στόχο να διεκδικήσει πρόσθετα bounties.
Η HackerΟne διέκοψε την πρόσβαση στο σύστημα του υπαλλήλου και κλείδωσε εξ αποστάσεως τον φορητό υπολογιστή του στις 23 Ιουνίου. Πήρε συνέντευξη από τον υπάλληλο στις 24 Ιουνίου και στις 27 Ιουνίου “πήρε το laptop του και πραγματοποίησε απομακρυσμένη εγκληματολογική απεικόνιση και ανάλυση.”
Ο υπάλληλος, ο οποίος είχε πρόσβαση στο σύστημα από τις 4 Απριλίου, είχε έρθει σε επαφή με επτά πελάτες της HackerOne.
Η HackerOne απέλυσε επίσημα τον εργαζόμενο στις 30 Ιουνίου. Μέχρι την 1η Ιουλίου, η HackerOne είχε ειδοποιήσει όλους τους πελάτες των οποίων τα προγράμματα επιβράβευσης σφαλμάτων είχαν οποιαδήποτε αλληλεπίδραση με τον υπάλληλο, ανέφερε.
Η HackerOne λέει ότι είναι πεπεισμένη ότι η εξωτερική αποκάλυψη δεν ήταν έργο πολλαπλών εσωτερικών απειλών, αλλά του ενός υπαλλήλου.
Δείτε επίσης: Το δωρεάν εργαλείο ανίχνευσης stalkerware smartphone αποκτά ειδικό κέντρο
Η HackerOne συγκέντρωσε 49 εκατομμύρια δολάρια σε χρηματοδότηση τον Ιανουάριο, ανεβάζοντας τη συνολική της χρηματοδότηση στα 160 εκατομμύρια δολάρια. Στους πελάτες της περιλαμβάνονται το Υπουργείο Άμυνας των ΗΠΑ, το Dropbox, η General Motors, το GitHub, η Goldman Sachs, η Google, η Hyatt, η Microsoft, το Υπουργείο Άμυνας της Σιγκαπούρης, η Nintendo, το PayPal, το Slack, το Starbucks, το Twitter και το Yahoo.
Πηγή πληροφοριών: zdnet.com
