Un employé de HackerOne a accédé à des rapports de bugs pour les revendre
mer, 06/07/2022 - 11:14
HackerOne est sans doute la plus grande plate-forme de bug bounty. Depuis sa création, la politique de la plate-forme est d'être transparente en ce qui concerne les incidents de sécurité. C'est au nom de cette transparence que HackerOne vient du publier un billet relatant le comportement inapproprié d'un employé qui a accédé à des rapports de sécurité entre le 4 avril et le 22 juin. L'employé a ensuite divulgué ces informations en dehors de la plate-forme pour réclamer des primes supplémentaires
HackerOne fait un résumé des incidents :
Le 22 juin 2022, un client nous a demandé d'enquêter sur une divulgation de vulnérabilité suspecte faite en dehors de la plateforme HackerOne. L'auteur de cette divulgation hors plateforme aurait utilisé un langage intimidant dans la communication avec notre client. De plus, la divulgation du déposant était similaire à une divulgation existante précédemment soumise via HackerOne. Les collisions de bogues et les doublons, où plusieurs chercheurs en sécurité découvrent indépendamment une seule vulnérabilité, se produisent généralement sur les plateformes de primes de bogues. Cependant, ce client a exprimé son scepticisme quant à la véritable collision et a fourni un raisonnement détaillé. L'équipe de sécurité de HackerOne a pris ces allégations au sérieux et a immédiatement ouvert une enquête.
Après enquête par l'équipe HackerOne Security, nous avons découvert qu'un employé de l'époque avait accédé de manière inappropriée à des rapports de sécurité à des fins personnelles. La personne a divulgué anonymement ces informations de vulnérabilité en dehors de la plate-forme HackerOne dans le but de réclamer des primes supplémentaires. Il s'agit d'une violation flagrante de nos valeurs, de notre culture, de nos politiques et de nos contrats de travail. En moins de 24 heures, nous avons travaillé rapidement pour contenir l'incident en identifiant l'employé de l'époque et en coupant l'accès aux données. Nous avons depuis licencié l'employé et renforcé nos défenses pour éviter des situations similaires à l'avenir
Le billet mentionné ci-dessus donne la chronologie complète de l'enquête et explique au client comment savoir s'ils ont été en relations avec cet acteur menaçant.