首页
论坛
课程
招聘

HackerOne内部员工窃取漏洞报告

2022-07-04 18:32

编辑:左右里


HackerOne是一个漏洞赏金中介平台,主要协调漏洞披露并为提交安全报告的漏洞赏金猎人提供奖励。该公司于周五表示,其一名员工窃取了通过该平台提交的漏洞报告,并将这些漏洞向受影响的客户披露,以赚取漏洞赏金。


事情从6月22日说起,一位HackerOne客户注意到某位漏洞提交者的漏洞披露报告与之前通过HackerOne提交的现有披露类似,要求HackerOne调查该人的可疑漏洞披露。多位安全研究人员分别独立发现同一漏洞的这种情况时有发生,但这位客户怀疑这次并不是巧合,并提供了详细的推理。HackerOne安全团队认真对待此事,回应了这项客户请求,并立即展开了调查。


然后,HackerOne发现,多位研究员发现并报告同一安全问题的情况出现频繁得不自然,并且两份报告具有明显的相似之处,这促使调查人员更深入调查此事。


最终,HackerOne的调查确定,其内部一名员工自4月4日加入该公司以来,直到6月23日,已经访问了该平台的漏洞报告两个多月,并联系了七家公司报告已经通过HackerOne系统披露的漏洞。


HackerOne表示,这名员工是对漏洞披露报告进行分类的工作人员之一。在开始调查后不到24小时,HackerOne就锁定了嫌疑人,终止了其系统访问权限,并远程锁定了其笔记本电脑,等待调查。


在接下来的几天里,HackerOne对嫌疑人的计算机进行了远程取证和分析,并完成了对该员工在就业期间的数据访问日志的审查,以确定嫌疑人与之交互的所有漏洞赏金程序。


HackerOne表示,在绝大多数情况下,没有证据表明漏洞数据被滥用。




资讯来源:bleepingcomputer

转载请注明出处和本文链接



每日涨知识

钓鱼网站

指欺骗用户的虚假网站,“钓鱼网站”的页面与真实网站的界面基本一致,欺骗消费者或者窃取访问者提交的账号和密码信息。钓鱼网站一般只有一个或几个页面,和真实网站差别细微。



推荐文章++++

RansomHouse团伙声称从AMD窃取了450GB的数据

涉案金额超8800万美元!Avaya员工因销售盗版许可证被起诉

CafePress因数据保护不力被罚款50万美元

价值近一亿美元,Harmony巨额加密货币资产失窃

热搜第一!QQ大批账号被盗、发送不雅图片

严重PHP漏洞使威联通设备面临远程代码执行风险

Lookout发现在哈萨克斯坦使用的Android间谍软件









声明:该文观点仅代表作者本人,转载请注明来自看雪专栏
最新评论 (0)
登录后即可评论