HackerOne内部员工窃取漏洞报告

HackerOne内部员工窃取漏洞报告
2022-7-4 18:4:1 Author: mp.weixin.qq.com(查看原文) 阅读量:26 收藏

编辑：左右里

HackerOne是一个漏洞赏金中介平台，主要协调漏洞披露并为提交安全报告的漏洞赏金猎人提供奖励。该公司于周五表示，其一名员工窃取了通过该平台提交的漏洞报告，并将这些漏洞向受影响的客户披露，以赚取漏洞赏金。

事情从6月22日说起，一位HackerOne客户注意到某位漏洞提交者的漏洞披露报告与之前通过HackerOne提交的现有披露类似，要求HackerOne调查该人的可疑漏洞披露。多位安全研究人员分别独立发现同一漏洞的这种情况时有发生，但这位客户怀疑这次并不是巧合，并提供了详细的推理。HackerOne安全团队认真对待此事，回应了这项客户请求，并立即展开了调查。

然后，HackerOne发现，多位研究员发现并报告同一安全问题的情况出现频繁得不自然，并且两份报告具有明显的相似之处，这促使调查人员更深入调查此事。

最终，HackerOne的调查确定，其内部一名员工自4月4日加入该公司以来，直到6月23日，已经访问了该平台的漏洞报告两个多月，并联系了七家公司报告已经通过HackerOne系统披露的漏洞。

HackerOne表示，这名员工是对漏洞披露报告进行分类的工作人员之一。在开始调查后不到24小时，HackerOne就锁定了嫌疑人，终止了其系统访问权限，并远程锁定了其笔记本电脑，等待调查。

在接下来的几天里，HackerOne对嫌疑人的计算机进行了远程取证和分析，并完成了对该员工在就业期间的数据访问日志的审查，以确定嫌疑人与之交互的所有漏洞赏金程序。

HackerOne表示，在绝大多数情况下，没有证据表明漏洞数据被滥用。

资讯来源：bleepingcomputer

转载请注明出处和本文链接

每日涨知识

钓鱼网站

指欺骗用户的虚假网站，“钓鱼网站”的页面与真实网站的界面基本一致，欺骗消费者或者窃取访问者提交的账号和密码信息。钓鱼网站一般只有一个或几个页面，和真实网站差别细微。

推荐文章++++

* RansomHouse团伙声称从AMD窃取了450GB的数据

* 涉案金额超8800万美元！Avaya员工因销售盗版许可证被起诉

* CafePress因数据保护不力被罚款50万美元

* 价值近一亿美元，Harmony巨额加密货币资产失窃

* 热搜第一！QQ大批账号被盗、发送不雅图片

* 严重PHP漏洞使威联通设备面临远程代码执行风险

* Lookout发现在哈萨克斯坦使用的Android间谍软件

﹀

球分享

球点赞

球在看

戳“阅读原文”一起来充电吧！

文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458456686&idx=3&sn=471aa68e128238da567eb179c64f6a7b&chksm=b18e22e486f9abf2ad576e57f157118a1b4007f2395d12848c8bcd9217e9c2de27aefdf3e566#rd
如有侵权请联系:admin#unsafe.sh