在当今高度发达的网络大数据时代,各公司的发展都依赖于互联网的支持。但与此同时,各种安全漏洞、非法解决等问题源源不断地涌现,无论系统有多完,都很容易受到攻击Bug。
在这种情况下,公司最好花钱请白帽黑客先披露,然后尽快修复,而不是让黑客发现披露,然后尽快修复。
本文提到的HackerOne它是世界著名的白帽黑客聚集地,是一个中介平台,用于协调漏洞披露,为提交安全报告的漏洞猎人提供货币奖励。
但在近日,HackerOne一名内部员工通过漏洞赏金平台窃取了其他人提交的漏洞报告,并向受影响的客户披露了相关报告,以获得经济奖励。
罪魁祸首被锁定
6月22日,HackerOne接到客户的请求,要求他们调查使用情况 "rzlr "账户用户通过非平台通信渠道披露的可疑漏洞。客户注意到,同样的安全问题以前已经通过了HackerOne提交过。
一般来说,漏洞碰撞,即许多研究人员经常发现并报告相同的安全问题。在这种情况下,真实的报告与威胁行为者的报告明显相似,这促使人们仔细观察。
HackerOne经调查,一名员工从4月4日加入公司至6月23日,访问平台系统两个多月,并联系七家公司报告系统披露的漏洞。
盗窃漏洞报告变成副业
该公司表示,流氓员工从他提交的一些报告中获得了奖励。HackerOne跟踪钱的下落,确定肇事者是众多客户项目 披露分流漏洞的工作人员之一。
“威胁行为者创建了一个HackerOne傀儡账户在少数披露中获得奖励。在确认这些奖励可能不正当后,公司联系了相关的支付供应商,他们与我们合作提供了更多信息。——HackerOne
在分析了威胁行为者的网络流量后,HackerOne平台上的主要账户和傀儡账户联系起来的证据更多。最后,调查开始后不到24小时,HackerOne确定威胁行为者,终止系统访问权限,远程锁定笔记本电脑。
在接下来的几天里,HackerOne对嫌疑人的计算机进行了远程证据收集成像和分析,并审查了员工在工作期间的数据访问日志,以确定互动的所有漏洞赏金项目。
6月30日,HackerOne解雇威胁行为者:
根据与律师的审查,我们将决定刑事转移是否合适。我们继续收集和分析前员工的日志和设备。—— HackerOne
HackerOne前员工在与客户的互动中使用了威胁 和 恐吓语言,并敦促客户在收到攻击性语气披露时联系公司。
HackerOne说在大多数情况下,没有证据表明漏洞数据被滥用。然而,内部威胁行为者访问的报告,无论是恶意还是合法,都被单独告知了每个漏洞披露的访问日期和时间。
HackerOne还发邮件通知流氓员工访问平台上提交的内容的黑客:
来源:@H4x0r-DZ推特
电子邮件通知相关黑客,包括威胁行为人的合法访问,作为其工作的一部分,或意图滥用提交的漏洞报告。此外,前员工提交的所有报告都被标记为重复,不会影响法律安全人员的支付。
HackerOne事件报告中得出结论:总之,这是一个严重的事件。我们相信内部人员的访问现在已经得到了控制。内部威胁是网络安全中最危险的威胁之一,我们准备尽一切努力减少未来此类事件的可能性。
参考链接:
1.HackerOne
2.https://www.bleepingcomputer.com/news/security/rogue-hackerone-employee-steals-bug-reports-to-sell-on-the-side/
3.A HackerOne Employee Stole Vulnerability Reports From Security Researchers | PCMag
二十年前,当程序员出版时,我们应该充分关注软件人的成长。今天,我们的初衷保持不变:在一行代码的背后,是新开发者改变世界的雄心壮志。因此,《新程序员004》从C 之父BjarneStroustrup、C#之父AndersHejlsberg、MySQL之父Michael"Monty"Widenius、PostgreSQL全球开发组联合创始人BruceMomjian等程序员祖师爷,阿里巴巴副总裁贾扬清指示集创始人兼董事长潘爱民Vue.js作者尤雨溪……48一位技术大咖,共创我们的程序生活和技术时代。《新程序员 004已全面上市,欢迎订阅!