HackerOne的流氓员工偷窃漏洞报告并将其作为副业出售

HackerOne是一个协调漏洞披露的平台并为提交安全报告的漏洞猎手提供货币奖励的中介。

抓住罪魁祸首

6月22日，HackerOne回应了一个客户的请求，通过一个使用“rzlr”工具的人的非平台通信渠道调查一个可疑的漏洞披露。

该客户注意到，同样的安全问题之前已经通过HackerOne提交。

漏洞碰撞即多个研究人员发现并报告相同的安全问题是经常发生的；在这种情况下，真正的报告和来自威胁行为者的报告有明显的相似之处从而促使人们仔细观察。

HackerOne的调查确定，其一名员工自4月4日加入公司至6月23日有两个多月的时间可以访问该平台并联系了七家公司，报告已经通过其系统披露的漏洞。

威胁行为者谋取了报酬

该公司表示，流氓雇员为他们提交的一些报告获得了报酬。这使得HackerOne能跟踪钱的去向并确定肇事者是其为“众多客户项目”分流漏洞披露的工作人员之一。

HackerOne披露称：“该威胁行为者创建了一个HackerOne的傀儡账户并在少数几个披露中获得了赏金。在发现这些赏金可能是不正当的后，HackerOne联系了相关的支付供应商，他们跟我们合作以提供了更多的信息。”

分析该威胁者的网络流量发现了更多的证据，从而将他们在HackerOne上的主要账户和傀儡账户联系起来。

在开始调查后不到24小时，该漏洞赏金平台确定了威胁行为者、终止了他们的系统访问并在调查期间远程锁定了他们的笔记本电脑。

在接下来的几天里，HackerOne对嫌疑人的电脑进行了远程取证成像和分析并完成了对该员工在工作期间的数据访问日志的审查，以此确定了该威胁行为人与之互动的所有漏洞赏金项目。

6月30日，HackerOne终止了对该威胁行为者的雇用。

“根据跟律师的审查，我们将决定对此事进行刑事移交是否合适。我们继续对前雇员产生的日志和使用的设备进行取证分析，” HackerOne说道。

HackerOne指出，其前雇员在跟客户的互动中使用了“威胁性”和“恐吓性”语言，另外还敦促客户在收到以攻击性语气进行的披露时跟公司联系。

该公司表示，在绝大多数情况下，它没有证据表明漏洞数据被滥用。然而被内部威胁行为者访问的报告--无论是出于邪恶还是合法的目的--都已经被单独告知每个漏洞披露的访问日期和时间。