知名漏洞众测平台Rogue HackerOne的一名员工,竟然利用工作职务之便,窃取通过漏洞赏金平台提交的漏洞报告,出售给那些受影响的用户,以此索取现金奖励。据HackerOne表示,这名员工联系了7名HackerOne 客户,并在少数披露中获取了赏金。
众所周知,HackerOne是一个漏洞众测平台,用于协调漏洞披露,并为提交安全报告的白帽黑客提供奖励。目前,HackerOne已为多家世界知名技术公司提供服务。
事件详细经过
6月22日,HackerOne正式回应用户的请求,调查一个使用“rzlr”昵称的人,通过平台之外的通信渠道泄露可疑漏洞。有用户注意到,此前已经通过 HackerOne 提交了相同的安全问题。
多位安全研究人员发现并报告相同的安全问题其实很常见,在这样的情况下,真实报告和来自攻击者的报告存在明显相似之处,因此需要平台仔细观察。
经过调查,HackerOne平台确定,有一名员工自 4 月 4 日加入公司以来,至6月23日已经访问该平台两个多月,并联系了七家公司报告通过平台披露的漏洞。
HackerOne公司表示,这名员工为他们提交的一些报告获得了报酬。这使得HackerOne能跟踪钱的去向并确定肇事者是其为“众多客户项目”分流漏洞披露的工作人员之一。
HackerOne在报告内写到,这名员工创建了一个 HackerOne sockpuppet 帐户,并在少数披露中获得了赏金。在确定这些赏金可能不正当后,HackerOne 联系了相关的支付提供商,他们与我们合作提供了更多信息。
分析该威胁者的网络流量发现了更多的证据,从而将他们在HackerOne上的主要账户和傀儡账户联系起来。
在开始调查后不到24小时,HackerOne 确定了这名员工的行为,终止了他们的系统访问,并在调查期间远程锁定了他们的笔记本电脑。
在接下来的几天里,HackerOne对嫌疑人的电脑进行了远程取证成像和分析并完成了对该员工在工作期间的数据访问日志的审查,以此确定了该威胁行为人与之互动的所有漏洞赏金项目。
6月30日,HackerOne开除了这名员工,并在律师的建议下,将该名员工移交给相关部门,并对其日志和设备进行取证分析。
HackerOne 指出,其前员工在与客户的互动中使用了“威胁”和“恐吓”语言,并敦促客户在收到以攻击性语气披露的信息时与公司联系。
该公司表示,“在绝大多数情况下”,它没有证据表明漏洞数据被滥用。但是,该员工出于恶意或合法目的访问了报告的客户,已被单独告知每个漏洞披露的访问日期和时间。