Сотрудник платформы по поиску ошибок HackerOne воровал предоставленные пользователями отчеты и сливал информацию пострадавшим поставщикам, иногда за финансовое вознаграждение.
В сообщении в блоге (откроется в новой вкладке) компания раскрыла подробности инцидента, который произошел примерно за три месяца, и подтвердила, что с тех пор сотрудник был уволен.
HackerOne все еще рассматривает вопрос о возбуждении уголовного дела, сообщает BleepingComputer.
Идентичные отчеты, которые вызывают недоумение
В начале апреля в HackerOne наняли нового сотрудника, который в силу своей должности имел доступ к сообщениям об ошибках. В этих отчетах освещаются уязвимости в различных программах и службах, которые могут быть использованы киберпреступниками для кражи паролей и другой конфиденциальной информации, распространения вредоносных программ и многого другого.
По словам HackerOne, сначала этот человек начал собирать отчеты и под вымышленным именем общаться с вовлеченными компаниями, часто в угрожающем и запугивающем тоне.
Затем сотрудник требовал плату в обмен на раскрытие уязвимости, а в некоторых случаях даже получал то, что хотел.
HackerOne была предупреждена о возможном мошенничестве, когда один из пострадавших клиентов связался с ним и сообщил, что кто-то еще «обнаружил» идентичную уязвимость. Хотя повторяющиеся результаты поиска ошибок не редкость, этот конкретный случай был настолько идентичным, что вызвал подозрения, заявила компания.
Работая с поставщиками платежей, HackerOne смогла отследить деньги и вскоре обнаружила, что за схемой стоит один из их сотрудников.
Вскоре после этого он запретил сотруднику доступ к системе и удаленно заблокировал его ноутбук на время расследования. В ходе расследования были обнаружены отчеты об ошибках, к которым обращался человек, что побудило компанию связаться как с хакерами, обнаружившими ошибки, так и с пострадавшими компаниями.
Компания также заявила, что отчеты об ошибках, к которым обращался человек, не были злоупотреблены. В некоторых случаях доступ осуществлялся в законных целях.
Через: BleepingComputer (открывается в новой вкладке)