Bir HackerOne çalışanı çalıntı güvenlik açığı raporları gönderdi


Bir hata ödül platformu, eski bir HackerOne çalışanının kişisel kazanç için güvenlik araştırmacılarından güvenlik açığı raporlarını çaldığını bildirdi.

Platform, bir HackerOne çalışanının birkaç açıklamada ödül aldığını söyledi. HackerOne, müşterisi HackerOne platformunun dışında yapılan şüpheli bir güvenlik açığı ifşası bildirdikten sonra dahili bir soruşturma başlattı.

Platform, “Bu platform dışı ifşayı sunanın, müşterimizle iletişimde göz korkutucu bir dil kullandığı bildirildi. Ek olarak, gönderenin ifşası, daha önce HackerOne aracılığıyla gönderilen mevcut bir ifşaya benziyordu,” dedi.

Hata çarpışmaları ve kopyaları o kadar nadir değildir. Ancak bu dava biraz farklı geldi ve platform bir iç soruşturma başlattı.

HackerOne Güvenlik ekibi, o zamanki bir çalışanın kişisel kazanç için güvenlik raporlarına uygunsuz bir şekilde eriştiğini keşfetti.

“Kişi, ek ödüller talep etmek amacıyla bu güvenlik açığı bilgilerini HackerOne platformunun dışında isimsiz olarak ifşa etti. […] 24 saatten kısa bir sürede, o zamanki çalışanı belirleyerek ve verilere erişimi keserek olayı kontrol altına almak için hızlı bir şekilde çalıştık.” söz konusu.

Tehdit aktörü, 4 Nisan ile 23 Haziran 2022 tarihleri ​​arasında HackerOne sistemlerine erişime sahipti ve “bir avuç ifşaat” ile ödüller aldı.

“Bu konunun cezai yönlendirmenin uygun olup olmadığına karar vereceğiz. Eski çalışan tarafından üretilen günlükler ve kullanılan cihazlar üzerinde adli analizlere devam ediyoruz. Müşterilerinin benzer bildirimler alması durumunda ayrıntıları paylaşmak için diğer bug bounty platformlarına ulaşıyoruz” rzlr” [threat actor’s handle]. Tehdit aktörünün amaçları doğada finansal gibi görünüyor, “dedi HackerOne.

*{padding:0;kenar boşluğu:0;taşma:gizli}html,gövde{yükseklik:100%}img{konum:mutlak;genişlik:%100;üst:0;alt:0;kenar boşluğu:oto}açıklık{yükseklik: 48px;width:68px;position:absolute;left:50%;top:50%;margin:-24px 0 0 -34px}#bg{fill:#212121;opacity:.8}body:hover #bg{dolgu: #ed1d24;opaklık:1}

“>


Cybernews’den daha fazlası:

Uzayda, kesinti kayıpları siber saldırıları davet ediyor

Yarı iletken şirket potansiyel bir veri ihlalini araştırıyor

Şifre alışkanlıklarımız berbat ve web sitelerinin kötü politikaları tarafından yönlendiriliyor

Şirketiniz için en büyük siber tehdit nedir: bilgisayar korsanları, çalışanlar veya fidye yazılımı?

California DOJ, eyaletin gizli taşıma silah izin sahiplerinin kişisel verilerini ifşa ediyor

Abone ol haber bülteni



Source link