Um ex-funcionário do HackerOne obteve ganhos pessoais com relatórios de vulnerabilidade da empresa. A informação vem da própria HackerOne em divulgação realizada na última sexta-feira.
Divulgação do acesso às informações da HackerOne
“A pessoa divulgou anonimamente essas informações de vulnerabilidade fora da plataforma HackerOne com o objetivo de reivindicar recompensas adicionais”, afirmou . “Em menos de 24 horas, trabalhamos rapidamente para conter o incidente, identificando o então funcionário e cortando o acesso aos dados”.
O funcionário, que teve acesso aos sistemas HackerOne entre 4 de abril e 23 de junho de 2022, para triagem de divulgações de vulnerabilidades associadas a diferentes programas de clientes, foi demitido pela empresa com sede em São Francisco em 30 de junho.
A empresa classificou o incidente como uma “violação clara” de seus valores, cultura, políticas e contratos de trabalho e revelou que foi alertada sobre a violação em 22 de junho por um cliente não identificado. O cliente teria pedido que a empresa investigasse “uma divulgação de vulnerabilidade suspeita” por meio de um comunicação fora da plataforma de um indivíduo com o identificador “rzlr” usando linguagem “agressiva” e “intimidante”.
Posteriormente, a análise de dados de log internos usados ??para monitorar o acesso de funcionários a divulgações de clientes rastreou a exposição a um insider desonesto, cujo objetivo, observou, era reenviar relatórios de vulnerabilidade duplicados para os mesmos clientes usando a plataforma para receber pagamentos monetários.
Notícias Relacionadas
Futuro incerto para o BcacheFS
Debates acalorados: a suspensão de Kent Overstreet e as reações da comunidade
A suspensão temporária de Kent Overstreet, criador do BcacheFS, provocou uma avalanche de reações na comunidade Linux. Com opiniões divididas, desenvolvedores e membros da comunidade discutem sobre o impacto de suas ações e as consequências para o futuro do projeto no kernel Linux. O desenvolvedor suspenso também comentou em seu blog como tudo aconteceu. Comentários […]
Kent Overstreet
Kent Overstreet comenta suspensão em seu blog
Kent Overstreet, desenvolvedor da inovadora sistema de arquivos BcacheFS, enfrenta um momento delicado em sua carreira como contribuidor do kernel Linux. Sua suspensão temporária pelo comitê de Código de Conduta (CoC) gerou controvérsias sobre a forma como conflitos são geridos dentro da comunidade e levantou questões sobre os processos culturais e técnicos que guiam o […]
Ex-funcionário acessa dados de relatórios de vulnerabilidades da HackerOne
“O agente da ameaça criou uma conta de fantoche do HackerOne e recebeu recompensas em várias divulgações”, detalhou o HackerOne em um relatório de incidente post-mortem, acrescentando que sete de seus clientes receberam comunicação direta do agente da ameaça.
“Seguindo a trilha do dinheiro, recebemos a confirmação de que a recompensa do agente da ameaça estava vinculada a uma conta que beneficiava financeiramente um funcionário do HackerOne na época. A análise do tráfego de rede do agente da ameaça forneceu evidências suplementares conectando as contas primária e de marionete do agente da ameaça.”
A empresa relatou ainda que notificou individualmente os clientes sobre os relatórios exatos de bugs que foram acessados ??pela parte mal-intencionada junto com o horário do acesso.
A HackerOne enfatiza que não encontrou evidências de que dados de vulnerabilidade foram usados ??indevidamente ou outras informações de clientes acessadas. Além disso, a empresa observou que pretende implementar mecanismos de registro adicionais para melhorar a resposta a incidentes, isolar dados para reduzir o “raio de explosão” e aprimorar os processos em vigor para identificar acesso anômalo e detectar ameaças internas de forma proativa.
