Empleado de HackerOne robaba los informes de errores para venderlos

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un empleado de HackerOne robó los informes de vulnerabilidad enviados a través de la plataforma de recompensas por errores y los reveló a los clientes afectados para reclamar recompensas financieras.

El trabajador deshonesto se había puesto en contacto con una media docena de clientes de HackerOne y había recolectado recompensas "en un puñado de revelaciones", dijo la compañía el viernes.

HackerOne es una plataforma para coordinar la divulgación de vulnerabilidades e intermediar recompensas monetarias para el cazador de errores que envía los informes de seguridad.

Atrapar al culpable

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El 22 de junio, HackerOne respondió a la solicitud de un cliente para investigar la divulgación de una vulnerabilidad sospechosa a través de un canal de comunicación fuera de la plataforma de alguien que usa el identificador "rzlr".

El cliente había notado que el mismo problema de seguridad se había presentado anteriormente a través de HackerOne.

Las colisiones de errores, donde varios investigadores encuentran e informan el mismo problema de seguridad, son frecuentes; en este caso, el informe genuino y el del actor de amenazas compartían similitudes obvias que incitaron a una mirada más cercana.

La investigación de HackerOne determinó que uno de sus empleados tuvo acceso a la plataforma durante más de dos meses, desde que ingresó a la empresa el 4 de abril hasta el 23 de junio, y contactó a siete empresas para reportar vulnerabilidades ya reveladas a través de su sistema.

Al actor de amenazas se le pagó

El empleado deshonesto recibió recompensas por algunos de los informes que presentó, dijo la compañía. Esto permitió a HackerOne seguir el rastro del dinero e identificar al perpetrador como uno de sus trabajadores que evaluó las divulgaciones de vulnerabilidades para "numerosos programas de clientes".

"El actor de amenazas creó una cuenta sockpuppet de HackerOne y recibió recompensas en un puñado de revelaciones. Después de identificar estas recompensas como probablemente inapropiadas, HackerOne se comunicó con los proveedores de pago relevantes, quienes trabajaron en cooperación con nosotros para proporcionar información adicional" - HackerOne

El análisis del tráfico de red del actor de amenazas reveló más evidencia que vinculaba sus cuentas principal y sockpuppet en HackerOne.

Menos de 24 horas después de comenzar la investigación, la plataforma de recompensas por errores identificó al actor de amenazas, finalizó el acceso al sistema y bloqueó de forma remota su computadora portátil en espera de la investigación.

Durante los siguientes días, HackerOne realizó análisis forenses remotos de imágenes y análisis de la computadora del sospechoso y completó la revisión de los registros de acceso a datos de ese empleado durante la duración del empleo para determinar todos los programas de recompensas por errores con los que interactuó el actor de amenazas.

El 30 de junio, HackerOne despidió al actor de amenazas.

"Sujeto a revisión con un abogado, decidiremos si la remisión penal de este asunto es apropiada. Continuamos con el análisis forense de los registros producidos y los dispositivos utilizados por el exempleado" - HackerOne

HackerOne señala que su exempleado había usado lenguaje "amenazante" e "intimidatorio" en su interacción con los clientes e instó a los clientes a comunicarse con la empresa si recibían revelaciones hechas en un tono agresivo.

La compañía dice que "en la gran mayoría de los casos" no tiene evidencia de que los datos de vulnerabilidad hayan sido mal utilizados. Sin embargo, los clientes a los que el actor de amenazas interno accedió a los informes, ya sea con fines nefastos o legítimos, han sido informados individualmente de las fechas y horas de acceso para cada divulgación de vulnerabilidad.

HackerOne también notificó a los hackers en la plataforma a cuyos envíos había accedido el empleado deshonesto:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La notificación informa a los hackers sobre el incidente e incluye una lista de los informes a los que accedió el actor de la amenaza de forma legítima, como parte de su trabajo o con la intención de abusar de las vulnerabilidades enviadas.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta