Один из работников крупнейшей мировой платформы Bug Bounty HackerOne скопировал отчеты об уязвимостях, которые были отправлены клиентам компании. После этого он начал шантажировать организации, пытаясь получить денежную выплату за гарантию непубликации конфиденциальной информации об обнаруженных ошибках.
22 июня администрация HackerOne получила запрос от одного из своих клиентов, который поинтересовался фактом расследования раскрытия сомнительной уязвимости через канал связи в обход площадки от пользователя под псевдонимом rzlr. Клиент уточнил в своем письме руководству HackerOne, что аналогичная ошибка безопасность уже ранее был отправлена непосредственно через платформу, поэтому её повтор показался крайне странным случаем.
Руководство HackerOne провело собственное внутреннее расследование, которое показало, что один из сотрудников платформы имел доступ к закрытой внутренней IT-инфраструктуре компании в течение нескольких последних месяцев. Благодаря этому инсайдеру удалось получить информацию о нескольких раскрытых уязвимостях.
Чтобы заработать денег, этот пользователь лично связывался с организациями, в продуктах которых были обнаружены серьезные уязвимости, чтобы сообщить им о факте выявления ошибок. Загрузив информацию из внутренней базы, сотрудник HackerOne обратился в семь различных компаний, передав им сведения об обнаруженных проблемах в их программных решениях. Более того, две или три компании (не уточняется, сколько именно) решили заплатить ему за обнаружение ошибок, остальные же организации оплачивать «работу» отказались.
Администрация компании HackerOne признала случившийся инцидент безопасности и утечку конфиденциальной информации из своих внутренних сетей.
«Внутренние угрозы и инсайдеры – это одна из наиболее коварных, неожиданных угроз в современной сфере информационной безопасности. Мы будем прикладывать все свои силы, чтобы снизить вероятность возникновения подобных инцидентов кибербезопасности в будущем», – заявили в компании HackerOne.
О наказании провинившегося сотрудника и о возможной передаче его дела в полицию ничего неизвестно.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Rutube | Now | Пульс.