Um ex-funcionário do HackerOne obteve ganhos pessoais com relatórios de vulnerabilidade da empresa. A informação vem da própria HackerOne em divulgação realizada na última sexta-feira.
Divulgação do acesso às informações da HackerOne
“A pessoa divulgou anonimamente essas informações de vulnerabilidade fora da plataforma HackerOne com o objetivo de reivindicar recompensas adicionais”, afirmou . “Em menos de 24 horas, trabalhamos rapidamente para conter o incidente, identificando o então funcionário e cortando o acesso aos dados”.
O funcionário, que teve acesso aos sistemas HackerOne entre 4 de abril e 23 de junho de 2022, para triagem de divulgações de vulnerabilidades associadas a diferentes programas de clientes, foi demitido pela empresa com sede em São Francisco em 30 de junho.
A empresa classificou o incidente como uma “violação clara” de seus valores, cultura, políticas e contratos de trabalho e revelou que foi alertada sobre a violação em 22 de junho por um cliente não identificado. O cliente teria pedido que a empresa investigasse “uma divulgação de vulnerabilidade suspeita” por meio de um comunicação fora da plataforma de um indivíduo com o identificador “rzlr” usando linguagem “agressiva” e “intimidante”.
Posteriormente, a análise de dados de log internos usados ??para monitorar o acesso de funcionários a divulgações de clientes rastreou a exposição a um insider desonesto, cujo objetivo, observou, era reenviar relatórios de vulnerabilidade duplicados para os mesmos clientes usando a plataforma para receber pagamentos monetários.
Ex-funcionário acessa dados de relatórios de vulnerabilidades da HackerOne
“O agente da ameaça criou uma conta de fantoche do HackerOne e recebeu recompensas em várias divulgações”, detalhou o HackerOne em um relatório de incidente post-mortem, acrescentando que sete de seus clientes receberam comunicação direta do agente da ameaça.
“Seguindo a trilha do dinheiro, recebemos a confirmação de que a recompensa do agente da ameaça estava vinculada a uma conta que beneficiava financeiramente um funcionário do HackerOne na época. A análise do tráfego de rede do agente da ameaça forneceu evidências suplementares conectando as contas primária e de marionete do agente da ameaça.”
A empresa relatou ainda que notificou individualmente os clientes sobre os relatórios exatos de bugs que foram acessados ??pela parte mal-intencionada junto com o horário do acesso.
A HackerOne enfatiza que não encontrou evidências de que dados de vulnerabilidade foram usados ??indevidamente ou outras informações de clientes acessadas. Além disso, a empresa observou que pretende implementar mecanismos de registro adicionais para melhorar a resposta a incidentes, isolar dados para reduzir o “raio de explosão” e aprimorar os processos em vigor para identificar acesso anômalo e detectar ameaças internas de forma proativa.
