Điều phối lỗ hổng bảo mật và nền tảng tiền thưởng lỗi HackerOne hôm thứ Sáu đã tiết lộ rằng một nhân viên cũ của công ty đã truy cập không đúng cách vào các báo cáo bảo mật được gửi cho công ty vì lợi ích cá nhân.
“Người đó đã tiết lộ một cách ẩn danh thông tin về lỗ hổng này bên ngoài nền tảng HackerOne với mục tiêu đòi thêm tiền thưởng”, nó cho biết. “Trong vòng chưa đầy 24 giờ, chúng tôi đã làm việc nhanh chóng để ngăn chặn sự cố bằng cách xác định nhân viên sau đó và cắt quyền truy cập vào dữ liệu.”
Nhân viên, người có quyền truy cập vào hệ thống HackerOne trong khoảng thời gian từ ngày 4 tháng 4 đến ngày 23 tháng 6 năm 2022, để xử lý các tiết lộ lỗ hổng liên quan đến các chương trình khách hàng khác nhau, đã bị chấm dứt hoạt động bởi công ty có trụ sở tại San Francisco kể từ ngày 30 tháng 6.
Gọi vụ việc là một “sự vi phạm rõ ràng” đối với các giá trị, văn hóa, chính sách và hợp đồng lao động của mình, HackerOne cho biết họ đã được cảnh báo về vi phạm vào ngày 22 tháng 6 bởi một khách hàng giấu tên, người này đã yêu cầu họ “điều tra về việc tiết lộ lỗ hổng đáng ngờ” thông qua một giao tiếp ngoài nền tảng từ một cá nhân có xử lý “rzlr” bằng cách sử dụng ngôn ngữ “hung hăng” và “đáng sợ”.
Sau đó, phân tích dữ liệu nhật ký nội bộ được sử dụng để theo dõi quyền truy cập của nhân viên vào các thông tin tiết lộ của khách hàng đã tìm ra sự tiếp xúc với một kẻ lừa đảo, mục tiêu của họ là gửi lại các báo cáo lỗ hổng bảo mật trùng lặp cho cùng một khách hàng sử dụng nền tảng để nhận các khoản thanh toán bằng tiền.
“Kẻ đe dọa đã tạo một tài khoản HackerOne sockpuppet và đã nhận được tiền thưởng trong một số thông tin tiết lộ”, HackerOne nêu chi tiết trong một báo cáo sự cố sau khi khám nghiệm, cho biết thêm bảy khách hàng của họ đã nhận được liên lạc trực tiếp từ kẻ đe dọa.
“Theo dấu vết tiền, chúng tôi nhận được xác nhận rằng tiền thưởng của kẻ đe dọa được liên kết với một tài khoản mang lại lợi ích tài chính cho một nhân viên lúc đó là HackerOne. Phân tích lưu lượng truy cập mạng của kẻ đe dọa đã cung cấp bằng chứng bổ sung kết nối tài khoản chính và tài khoản sockpuppet của kẻ đe dọa.”
HackerOne cho biết thêm rằng họ đã thông báo riêng cho khách hàng về các báo cáo lỗi chính xác đã bị bên độc hại truy cập cùng với thời gian truy cập, đồng thời nhấn mạnh rằng họ không tìm thấy bằng chứng nào về việc dữ liệu lỗ hổng đã bị lạm dụng hoặc thông tin khách hàng khác bị truy cập.
Trên hết, công ty lưu ý rằng họ có mục đích triển khai các cơ chế ghi nhật ký bổ sung để cải thiện phản ứng sự cố, cô lập dữ liệu để giảm “bán kính vụ nổ” và tăng cường các quy trình tại chỗ để xác định truy cập bất thường và chủ động phát hiện các mối đe dọa nội bộ.
.
