HackerOne员工为个人利益窃取漏洞报告被抓获

漏洞协调和漏洞悬赏平台HackerOne周五透露，该公司的一名前员工为了个人利益而不当访问了提交给它的安全报告。

该员工在2022年4月4日至6月23日期间访问了HackerOne systems，用于分类与不同客户计划相关的漏洞披露，自6月30日起，该员工已被这家总部位于旧金山的公司解雇。

哈克龙称这起事件“明显违反”了其价值观、文化、政策和雇佣合同，并表示，6月22日，一位未透露姓名的客户向其发出了违约警报，要求其通过使用“攻击性”和“恐吓性”语言的“rzlr”手柄个人的非平台通信“调查可疑漏洞泄漏”。

随后，对用于监控员工获取客户披露信息的内部日志数据的分析追踪了一名流氓内幕人士的暴露情况，该公司指出，其目标是使用该平台向相同的客户重新提交重复的漏洞报告，以获得金钱支付。

“该威胁行为人创建了一个HackerOne sockpuppet账户，并在几次披露中获得了赏金，”HackerOne在一份事后事件报告中详细介绍，并补充说，其7名客户收到了威胁行为人的直接通信。

“在资金追踪之后，我们收到确认，该威胁行为人的悬赏与一个账户有关，该账户使当时的HackerOne员工从财务上受益。对该威胁行为人的网络流量的分析提供了连接该威胁行为人主要账户和sockpuppet账户的补充证据”。

HackerOne进一步表示，它已单独通知客户恶意方在访问时访问的确切错误报告，同时强调没有发现漏洞数据被滥用或其他客户信息被访问的证据。

除此之外，该公司指出，其目标是实施额外的日志机制，以改善事件响应，隔离数据以减少“爆炸半径”，并加强现有流程，以识别异常访问并主动检测内部威胁。