Сотрудник площадки HackerOne продавал отчеты белых хакеров об ошибках и уязвимостях компаниям-разработчикам ПО
По информации Bleeping Computer и отчету по инциденту HackerOne, штатный сотрудник площадки для выплат вознаграждений этичным хакерам за поиски уязвимостей в ПО и IT-системах нарушил рамки рабочих ограничений и незаконно продавал, практически шантажируя, отчеты белых хакеров об ошибках и уязвимостях «пострадавшим» от багов в своем коде компаниям-разработчикам ПО. В итоге некоторые партнеры HackerOne дважды заплатили за одни и те же уязвимости — сначала белым хакерам по багбаунти, а потом инсайдеру платформы, который не особо и скрывался.
После нескольких жалоб и уведомлений от клиентов HackerOne в сторону администрации платформы, там возникло предположение, что действует инсайдер. Причем HackerOne принялась разбирать этот инцидент после достаточно продолжительного времени от его начала. Сотрудник площадки без подозрений смог получить данные по уязвимостям семи компаний-партнеров, связаться с ними и получить от некоторых из них плату за информацию, которую по факту предоставили в своих отчетах белые хакеры.
Партнеры платформы обнаружили, что отчеты по уязвимостям с информацией от стороннего продавца предоставлялись им немного заранее или чуть позже, чем они получали данные от HackerOne, а также содержали в себе идентичные описания и сходные способы и механизмы обнаружения багов, идентичные тем, какие предоставляли белые хакеры в HackerOne.
В ходе расследования HackerOne установила, что действительно один из ее сотрудников имел доступ к внутренним документам платформы более двух месяцев. Он решил получить с новых партнеров, которые присоединились к площадке с 4 апреля по 23 июня, дополнительное вознаграждение. В итоге от его действий пострадали семь компаний, которые выплатили сотруднику-мошеннику отдельно деньги практически за молчание, а не за информацию об уязвимостях.
HackerOne проследила денежные выплаты пострадавших в афере клиентов и смогла выяснить, какой именно сотрудник являлся продавцом информации об уязвимостях и как он действовал.
«Злоумышленник создал дополнительную пользовательскую учетную запись на HackerOne и получал на нее вознаграждение за якобы несколько своих разоблачений. Определив эти вознаграждения как неправомерные, HackerOne связалась с соответствующими поставщиками платежей, чтобы заблокировать их и предоставить по этому инциденту всю дополнительную информацию», — пояснили сотрудники HackerOne.
Анализ сетевого трафика сотрудника и злоумышленника выявил дополнительные доказательства, связывающие его основную рабочую учетную запись и поддельную учетную запись на HackerOne. Менее чем через 24 часа после начала расследования платформа HackerOne закрыла ему доступ к системе и удаленно заблокировала рабочий ноутбук.
В течение следующих нескольких дней HackerOne провела удаленную криминалистическую визуализацию его действий, а проанализировала данные с его рабочего компьютера. Эксперты платформы просмотрели все журналы доступа к данным со стороны этого сотрудника за все время его работы, чтобы определить все программы вознаграждений, информацию о которых это сотрудник использовал в корыстных целях. 30 июня HackerOne уволила инасайдера.
«После дополнительного рассмотрения этого инцидента с нашими юристами, компания решит, уместно ли уголовное преследование злоумышленника по этому делу. HackerOne продолжает проводить экспертизу журналов и устройств, которые использовал бывший сотрудник», — пояснила платформа.
HackerOne пояснила, что ее бывший сотрудник использовал в переписке с клиентами «угрожающие» и «запугивающие» выражения и призывал их быстрее выплатить деньги или будет раннее разглашение данных об их уязвимостях третьим лицам.
HackerOne заявила, что «в подавляющем большинстве случаев» у платформы нет доказательств неправомерного использования данных об уязвимостях сторонними компаниями. Компания предупредила всех пострадавших от действий сотрудника клиентов по поводу необходимости в срочной порядке закрыть ранее найденные белыми хакерами уязвимости.
21 сентября 2021 года сообщество HackerOne объявило о запуске программы поиска уязвимостей в проектах с открытым ПО. Она будет входить внутрь текущей программы платформы под названием Internet Bug Bounty.
В марте 2022 года HackerOne прекратила сотрудничество с российскими специалистами и багхантерами, заморозив их счета, а также отказалась работать со всеми клиентами из РФ и партнерами, включая уборку из своего сервиса всех совместных проектов с «Лабораторией Касперского».
