Сотрудник bug bounty платформы HackerOne более двух месяцев воровал отчеты об уязвимостях и шантажировал с их помощью клиентов компании, требуя дополнительное финансовое вознаграждение.
Как заявили в компании, мошенник работал в HackerOne с 4 апреля текущего года, и за это время успел связаться с семью клиентами, чтобы сообщить им об уязвимостях, уже обнаруженных в их продуктах, и потребовать деньги за баги.
О странной активности стало известно 22 июня, когда HackerOne ответила на запрос одного из клиентов, который пожаловался, что получил информацию об уязвимости, минуя саму платформу, от человека, использующего ник rzlr. При этом клиент заметил, ранее баг-репорт о такой же проблеме был отправлен через HackerOne.
Хотя иногда несколько исследователей действительно могут обнаружить один и тот же баг одновременно, в этом случае отчет на HackeOne и отчет мошенника имели очевидные сходства, которые привели к расследованию случившегося. Так выяснилось, что один из сотрудников имел доступ к платформе более двух месяцев и шантажировал клиентов уже обнаруженными уязвимостями.
В компании рассказывают, что мошенник успел получить «вознаграждение» за некоторые украденные баг-репорты. Это позволило HackerOne проследить денежный след и идентифицировать преступника в одном из своих сотрудников, которые занимались раскрытием информации об уязвимостях для «многочисленных клиентских программ».
«Злоумышленник создал на HackerOne учетную запись sockpuppet и получил вознаграждение за несколько раскрытий. Определив эти вознаграждения как неправомерные, HackerOne связалась с соответствующими поставщиками платежей, которые сотрудничали с нами, чтобы предоставить дополнительную информацию», — гласит официальное сообщение.
Анализ сетевого трафика выявил дополнительные доказательства, связывающие основную учетную запись мошенника и учетную запись sockpuppet. Менее чем через сутки после начала расследования платформа идентифицировала злоумышленника, лишила его доступа к системе и удаленно заблокировала его ноутбук в ожидании дальнейшего расследования.
В течение следующих дней специалисты HackerOne провели удаленный криминалистический анализ компьютера подозреваемого, а также завершили проверку журналов доступа сотрудника за время его работы (чтобы определить все bug bounty программы, с которыми он взаимодействовал). В результате, 30 июня 2022 мошенник был уволен.
«После рассмотрения вопроса с юристами, мы решим, уместно ли уголовное обращение по этому делу. Пока мы продолжаем экспертизу журналов и устройств, которые использовал бывший сотрудник», — пишут в компании.
Представители платформы признают, что бывший сотрудник шантажировал клиентов HackerOne, используя «угрожающие» и «запугивающие» выражения и призывал их связываться с компанией, если они чем-то недовольны.
Увы, «в подавляющем большинстве случаев» у компании нет доказательств неправомерного использования данных об уязвимостях. Тем не менее, клиенты, к отчетам которых злоумышленник получал доступ (неизвестно, в законных целях, в рамках своей работы, или со злым умыслом) уже индивидуально уведомлены о датах и времени доступа к каждому баг-репорту. Также HackerOne уведомила исследователей, чьи материалы были получены мошенником.
В компании обещают, что в будущем внедрят дополнительные механизмы логгинга для улучшения реагирования на инциденты, поработают над изоляцией данных для «уменьшения радиуса взрыва», а также оптимизируют существующие процессы выявления аномального доступа и проактивного обнаружения внутренних угроз.
