В системах безопасности обнаружено более 100 ошибок

Сотрудник платформы по поиску ошибок HackerOne воровал предоставленные пользователями отчеты и сливал информацию пострадавшим поставщикам, иногда за финансовое вознаграждение.

В сообщении в блоге (откроется в новой вкладке) компания раскрыла подробности инцидента, который произошел примерно за три месяца, и подтвердила, что с тех пор сотрудник был уволен.

HackerOne все еще рассматривает вопрос о возбуждении уголовного дела, сообщает BleepingComputer.

Идентичные отчеты, которые вызывают недоумение

В начале апреля в HackerOne наняли нового сотрудника, который в силу своей должности имел доступ к сообщениям об ошибках. В этих отчетах освещаются уязвимости в различных программах и службах, которые могут быть использованы киберпреступниками для кражи паролей и другой конфиденциальной информации, распространения вредоносных программ и многого другого.

По словам HackerOne, сначала этот человек начал собирать отчеты и под вымышленным именем общаться с вовлеченными компаниями, часто в угрожающем и запугивающем тоне.

Затем сотрудник требовал плату в обмен на раскрытие уязвимости, а в некоторых случаях даже получал то, что хотел.

HackerOne была предупреждена о возможном мошенничестве, когда один из пострадавших клиентов связался с ним и сообщил, что кто-то другой «обнаружил» идентичную уязвимость. Компания заявила, что, несмотря на то, что повторяющиеся результаты поиска ошибок не являются чем-то необычным, этот конкретный случай был настолько идентичным, что вызвал подозрения.

Работая с поставщиками платежей, HackerOne смогла отследить деньги и вскоре обнаружила, что за схемой стоит один из их сотрудников.

Вскоре после этого он запретил сотруднику доступ к системе и удаленно заблокировал его ноутбук на время расследования. В ходе расследования были обнаружены отчеты об ошибках, к которым обращался человек, что побудило компанию связаться как с хакерами, обнаружившими ошибки, так и с пострадавшими компаниями.

Компания также заявила, что отчеты об ошибках, к которым обращался человек, не были злоупотреблены. В некоторых случаях доступ осуществлялся в законных целях.

Через: BleepingComputer (открывается в новой вкладке)

Поделиться