一名HackerOne員工竊取瞭通過漏洞賞金平臺提交的漏洞報告並將其披露給受影響的客戶以索取經濟獎勵。該公司於當地時間周五表示,這名流氓員工聯系瞭7名客戶並在少數披露中獲取瞭賞金。
HackerOne是一個協調漏洞披露的平臺並為提交安全報告的漏洞獵手提供貨幣獎勵的中介。
抓住罪魁禍首
6月22日,HackerOne回應瞭一個客戶的請求,通過一個使用“rzlr”工具的人的非平臺通信渠道調查一個可疑的漏洞披露。
該客戶註意到,同樣的安全問題之前已經通過HackerOne提交。
漏洞碰撞即多個研究人員發現並報告相同的安全問題是經常發生的;在這種情況下,真正的報告和來自威脅行為者的報告有明顯的相似之處從而促使人們仔細觀察。
HackerOne的調查確定,其一名員工自4月4日加入公司至6月23日有兩個多月的時間可以訪問該平臺並聯系瞭七傢公司,報告已經通過其系統披露的漏洞。
威脅行為者謀取瞭報酬
該公司表示,流氓雇員為他們提交的一些報告獲得瞭報酬。這使得HackerOne能跟蹤錢的去向並確定肇事者是其為“眾多客戶項目”分流漏洞披露的工作人員之一。
HackerOne披露稱:“該威脅行為者創建瞭一個HackerOne的傀儡賬戶並在少數幾個披露中獲得瞭賞金。在發現這些賞金可能是不正當的後,HackerOne聯系瞭相關的支付供應商,他們跟我們合作以提供瞭更多的信息。”
分析該威脅者的網絡流量發現瞭更多的證據,從而將他們在HackerOne上的主要賬戶和傀儡賬戶聯系起來。
在開始調查後不到24小時,該漏洞賞金平臺確定瞭威脅行為者、終止瞭他們的系統訪問並在調查期間遠程鎖定瞭他們的筆記本電腦。
在接下來的幾天裡,HackerOne對嫌疑人的電腦進行瞭遠程取證成像和分析並完成瞭對該員工在工作期間的數據訪問日志的審查,以此確定瞭該威脅行為人與之互動的所有漏洞賞金項目。
6月30日,HackerOne終止瞭對該威脅行為者的雇用。
“根據跟律師的審查,我們將決定對此事進行刑事移交是否合適。我們繼續對前雇員產生的日志和使用的設備進行取證分析,” HackerOne說道。
HackerOne指出,其前雇員在跟客戶的互動中使用瞭“威脅性”和“恐嚇性”語言,另外還敦促客戶在收到以攻擊性語氣進行的披露時跟公司聯系。
該公司表示,在絕大多數情況下,它沒有證據表明漏洞數據被濫用。然而被內部威脅行為者訪問的報告--無論是出於邪惡還是合法的目的--都已經被單獨告知每個漏洞披露的訪問日期和時間。