知名漏洞测试平台RogueHackerOne的一名员工甚至利用职务之便,窃取通过漏洞赏金平台提交的漏洞报告,并出售给受影响的用户,以获得现金奖励。根据HackerOne的说法,这名员工联系了七位HackerOne客户,并就少量信息披露收取了奖金。众所周知,HackerOne是一个漏洞众测平台,协调漏洞披露,为提交安全报告的白帽黑客提供奖励。目前,HackerOne已为多家全球知名科技公司提供服务。事件详情6月22日,HackerOne正式回应用户请求,调查一名使用昵称“rzlr”通过平台外传播渠道泄露可疑漏洞的人。一位用户注意到,之前曾通过HackerOne提交过同样的安全问题。实际上,多个安全研究人员发现并报告同一个安全问题是很常见的。在这种情况下,真实报告与攻击者的报告存在明显的相似性,因此需要仔细观察平台。经过调查,HackerOne平台确定一名员工在4月4日至6月23日期间访问该平台两个多月,并联系了7家公司报告通过该平台披露的漏洞。HackerOne表示,该员工因提交的部分报告而获得报酬。这让HackerOne得以追踪这笔钱,并确定肇事者是其将漏洞披露转移给“众多客户项目”的员工之一。HackerOne在报告中写道,该员工创建了一个HackerOnesockpuppet帐户,并因少量披露而获得了赏金。在确定这些赏金可能不合法后,HackerOne联系了相关的支付提供商,他们与我们合作提供了更多信息。对威胁行为者的网络流量的分析发现了更多证据,证明他们在HackerOne上的主要帐户和傀儡帐户相关联。在调查开始后不到24小时,HackerOne就确定了该员工的行为,终止了他们的系统访问权限,并在调查期间远程锁定了他们的笔记本电脑。在接下来的几天里,HackerOne对嫌疑人的计算机进行了远程取证成像和分析,并完成了对员工在工作期间的数据访问日志的审查,从而确定了威胁行为者与之交互的所有威胁。错误赏金计划。6月30日,HackerOne解雇了这名员工,并在律师的建议下,将该员工移交给相关部门,以对其日志和设备进行取证分析。HackerOne指出,其前员工在与客户的互动中使用“威胁”和“恐吓”语言,并敦促客户如果收到以攻击性语气披露的信息,请与公司联系。该公司表示,“在绝大多数情况下”,它没有证据表明漏洞数据被滥用。然而,出于恶意或合法目的访问被报告客户的员工已被单独告知每个漏洞披露的访问日期和时间。
