Ex-funcionário do HackerOne obteve ganhos pessoais com relatórios de vulnerabilidade da empresa

ex-funcionario-do-hackerone-obteve-ganhos-pessoais-com-relatorios-de-vulnerabilidade-da-empresa

Um ex-funcionário do HackerOne obteve ganhos pessoais com relatórios de vulnerabilidade da empresa. A informação vem da própria HackerOne em divulgação realizada na última sexta-feira.

Divulgação do acesso às informações da HackerOne

“A pessoa divulgou anonimamente essas informações de vulnerabilidade fora da plataforma HackerOne com o objetivo de reivindicar recompensas adicionais”, afirmou . “Em menos de 24 horas, trabalhamos rapidamente para conter o incidente, identificando o então funcionário e cortando o acesso aos dados”.

O funcionário, que teve acesso aos sistemas HackerOne entre 4 de abril e 23 de junho de 2022, para triagem de divulgações de vulnerabilidades associadas a diferentes programas de clientes, foi demitido pela empresa com sede em São Francisco em 30 de junho.

A empresa classificou o incidente como uma “violação clara” de seus valores, cultura, políticas e contratos de trabalho e revelou que foi alertada sobre a violação em 22 de junho por um cliente não identificado. O cliente teria pedido que a empresa investigasse “uma divulgação de vulnerabilidade suspeita” por meio de um comunicação fora da plataforma de um indivíduo com o identificador “rzlr” usando linguagem “agressiva” e “intimidante”.

ex-funcionario-do-hackerone-obteve-ganhos-pessoais-com-relatorios-de-vulnerabilidade-da-empresa

Posteriormente, a análise de dados de log internos usados ??para monitorar o acesso de funcionários a divulgações de clientes rastreou a exposição a um insider desonesto, cujo objetivo, observou, era reenviar relatórios de vulnerabilidade duplicados para os mesmos clientes usando a plataforma para receber pagamentos monetários.

Ex-funcionário acessa dados de relatórios de vulnerabilidades da HackerOne

“O agente da ameaça criou uma conta de fantoche do HackerOne e recebeu recompensas em várias divulgações”, detalhou o HackerOne em um relatório de incidente post-mortem, acrescentando que sete de seus clientes receberam comunicação direta do agente da ameaça.

“Seguindo a trilha do dinheiro, recebemos a confirmação de que a recompensa do agente da ameaça estava vinculada a uma conta que beneficiava financeiramente um funcionário do HackerOne na época. A análise do tráfego de rede do agente da ameaça forneceu evidências suplementares conectando as contas primária e de marionete do agente da ameaça.”

A empresa relatou ainda que notificou individualmente os clientes sobre os relatórios exatos de bugs que foram acessados ??pela parte mal-intencionada junto com o horário do acesso.

A HackerOne enfatiza que não encontrou evidências de que dados de vulnerabilidade foram usados ??indevidamente ou outras informações de clientes acessadas. Além disso, a empresa observou que pretende implementar mecanismos de registro adicionais para melhorar a resposta a incidentes, isolar dados para reduzir o “raio de explosão” e aprimorar os processos em vigor para identificar acesso anômalo e detectar ameaças internas de forma proativa.