Il dipendente di HackerOne ha rubato segnalazioni di bug e raccolto taglie

Il dipendente di HackerOne ha rubato segnalazioni di bug e raccolto taglie

Un dipendente della piattaforma di bug bounty HackerOne ha rubato i rapporti inviati dagli utenti e ha fatto trapelare le informazioni ai fornitori interessati, a volte per una ricompensa finanziaria.

In un post sul blog (si apre in una nuova scheda), la società ha rivelato i dettagli dell'incidente, avvenuto nell'arco di circa tre mesi, e ha confermato che da allora il dipendente è stato licenziato.

HackerOne sta ancora valutando se intraprendere o meno azioni penali, ha riferito BleepingComputer.

Rapporti identici che fanno alzare le sopracciglia

All'inizio di aprile, HackerOne ha assunto un nuovo dipendente che, a causa della sua posizione, aveva accesso alle segnalazioni di bug. Questi rapporti evidenziano vulnerabilità in vari software e servizi che i criminali informatici potrebbero sfruttare per rubare password e altre informazioni sensibili, distribuire malware e altro ancora.

In un primo momento, l'individuo ha iniziato a raccogliere segnalazioni e, sotto falso nome, a comunicare con le aziende coinvolte, spesso in tono minaccioso e intimidatorio, ha affermato HackerOne.

Il dipendente chiedeva quindi il pagamento in cambio della divulgazione della vulnerabilità e, in alcuni casi, otteneva persino ciò che desiderava.

HackerOne è stato avvisato della possibile frode quando uno dei suoi clienti interessati si è messo in contatto per dire che qualcun altro aveva "scoperto" un difetto identico. Sebbene i risultati duplicati della ricerca di bug non siano rari, questo caso particolare era così identico da sollevare sospetti, ha affermato la società.

Collaborando con i fornitori di servizi di pagamento, HackerOne è stato in grado di rintracciare il denaro e presto ha scoperto che dietro lo schema c'era uno dei suoi dipendenti.

Poco dopo, ha vietato al dipendente di accedere al sistema e ha bloccato da remoto il suo laptop, in attesa di indagini. L'indagine ha portato alla luce le segnalazioni di bug a cui la persona aveva avuto accesso, spingendo l'azienda a contattare sia gli hacker che hanno scoperto i bug sia le aziende interessate.

La società ha anche affermato che le segnalazioni di bug a cui ha avuto accesso la persona non sono state oggetto di abusi. In alcuni casi, l'accesso è avvenuto per scopi legittimi.

Via: BleepingComputer (si apre in una nuova scheda)