信息來(lái)源:安全內(nèi)參
HackerOne 平臺(tái)的一名員工竊取了通過(guò)該平臺(tái)提交的多份漏洞報(bào)告,并將報(bào)告披露給受影響客戶,獲得經(jīng)濟(jì)報(bào)酬。
這名員工已經(jīng)聯(lián)系了約6名HackerOne 客戶并“在幾次漏洞披露中”獲得獎(jiǎng)勵(lì)。
捉拿罪魁禍?zhǔn)?/strong>
6月22日,HackerOne 平臺(tái)的一名客戶要求調(diào)查一起可疑的漏洞披露事件,名為 “rzlr”的人員通過(guò)平臺(tái)以外的通信渠道披露了漏洞。這名客戶注意到,此前已通過(guò) HackerOne 平臺(tái)提交過(guò)同樣的安全問(wèn)題。
撞洞是指多名研究員發(fā)現(xiàn)并報(bào)告了同樣的漏洞問(wèn)題,這種情況很常見(jiàn);在本案例中,真正的漏洞報(bào)告和來(lái)自威脅行動(dòng)者的報(bào)告之間有很多值得仔細(xì)審查的相似之處。HackerOne 平臺(tái)調(diào)查后發(fā)現(xiàn),其中一名員工在兩個(gè)多月(4月4日至6月23日)的時(shí)間里有訪問(wèn)該平臺(tái)的權(quán)限,并聯(lián)系了7家公司向它們報(bào)告已通過(guò)HackerOne 系統(tǒng)披露的漏洞。
獲得報(bào)酬
HackerOne 平臺(tái)指出,這名惡意員工因其中的某些漏洞報(bào)告得到了經(jīng)濟(jì)報(bào)酬。該平臺(tái)通過(guò)追蹤款項(xiàng)來(lái)源后發(fā)現(xiàn),始作俑者是負(fù)責(zé)為“很多客戶計(jì)劃”分類漏洞披露的其中一名員工。
HackerOne 通過(guò)和相關(guān)的支付提供商聯(lián)系后獲得更多信息。該平臺(tái)分析該威脅行動(dòng)者的網(wǎng)絡(luò)流量后找到了原始賬戶和馬甲賬戶相關(guān)聯(lián)的更多證據(jù)。在調(diào)查開(kāi)啟后不到24小時(shí)內(nèi),HackerOne 鎖定了這些員工,禁用了他們的系統(tǒng)訪問(wèn)權(quán)限并遠(yuǎn)程鎖定筆記本以等待質(zhì)詢。幾天后,HackerOne 對(duì)嫌疑人的計(jì)算機(jī)進(jìn)行了遠(yuǎn)程取證成像和分析,并完成對(duì)該名員工在職期間數(shù)據(jù)訪問(wèn)日志的審計(jì),判斷他曾參與的漏洞獎(jiǎng)勵(lì)計(jì)劃。
6月30日,HackerOne 平臺(tái)終止了與這名員工的雇傭關(guān)系。該平臺(tái)提到,這名離職員工使用“威脅性”和“恐嚇性”語(yǔ)言與客戶進(jìn)行交流,以攻擊性語(yǔ)調(diào)督促客戶如收到漏洞披露情況,則與該公司取得聯(lián)系。該平臺(tái)指出,“在大多數(shù)案例中”,并未有漏洞數(shù)據(jù)遭濫用的證據(jù)。然而,HackerOne 指出,已經(jīng)單獨(dú)聯(lián)系出于惡意或合法目的而導(dǎo)致漏洞報(bào)告遭訪問(wèn)的客戶,告知他們漏洞披露遭訪問(wèn)的日期和時(shí)間。另外,還將該該消息告知漏洞報(bào)告遭訪問(wèn)的黑客,并提供了該員工合法或惡意訪問(wèn)的報(bào)告清單。