HackerOne员工窃取漏洞报告，以获取经济奖励

HackerOne是一个为提交安全报告的漏洞猎手提供货币奖励的中介，也是一个协调漏洞披露的平台。近日，通过漏洞赏金平台提交的漏洞报告，被HackerOne的一名员工窃取了，并且该员工还将漏洞报告纰漏给受影响的客户，以获取经济奖励。

发现罪魁祸首

2022年6月22日，HackerOne回应了一个客户的请求，通过一个使用“rzlr”工具的人的非平台通信渠道调查一个可疑的漏洞披露。该客户注意到，同样的安全问题之前已经通过HackerOne提交。

漏洞碰撞是经常发生的事情，但是真正的报告和来自威胁行为者的报告有明显的相同之处，从而促使人们仔细观察。HackerOne经过调查发现，它的一名员工从4月4日加入公司到6月23日有两个多月的时间，可以访问该平台并联系了7家公司，报告已经通过系统披露的漏洞。

威胁行为者谋取报酬

HackerOne表示，该员工为他们提交的一些报告获得了报酬。这使得HackerOne能跟踪钱的去向并确定肇事者是其为“众多客户项目”分流漏洞披露的工作人员之一。

HackerOne称，该威胁行为者创建了一个HackerOne的傀儡账户并在少数几个披露中获得了赏金。HackerOne发现这些赏金可能不正当后，联系了相关的支付供应商，以提供更多的信息。通过分析威胁行为者的网络流量，发现了很多证据，从而将他们在HackerOne上的主要账户和傀儡账户联系起来。

确定威胁行为者

调查的进展速度很快，不到24个小时，HackerOne就确定了威胁行为者，并终止了他们的系统访问，并在调查期间远程锁定威胁行为者的电脑。HackerOne在接下来的几天时间，对嫌疑人的电脑进行了远程取证成像和分析，并完成了对该员工在工作期间的数据访问日志的审查，以此确定该威胁行为人与之互动的所有漏洞赏金项目。

2022年6月30，HackerOne解雇了该威胁行为者。

据HackerOne吐露HackerOne前雇员在跟客户的互动中使用了“威胁性”和“恐吓性”语言，此外还敦促客户在收到以攻击性语气进行的披露时跟公司联系。

在大多数情况下，没有证据表明漏洞数据被滥用。HackerOne表示，不管是出于合法还是邪恶目的，被内部威胁行为者访问的报告，都已经被单独告知每个漏洞披露的访问日期和时间。