image

Medewerker HackerOne gebruikte bugmeldingen voor eigen financieel gewin

maandag 4 juli 2022, 10:33 door Redactie, 3 reacties
Laatst bijgewerkt: 04-07-2022, 13:22

Een medewerker van het bugbountyplatform HackerOne heeft bugmeldingen van beveiligingsonderzoekers voor eigen financieel gewin gebruikt door ze buiten het platform bij kwetsbare bedrijven in te dienen. HackerOne laat softwarebedrijven, overheden en andere organisaties een beloningsprogramma's voor onderzoekers organiseren en handelt de coördinatie tussen de bugmelder en de gecompromitteerde of kwetsbare partij af.

Een klant van HackerOne werd eind juni, naar eigen zeggen op nogal agressieve wijze, ingelicht over een kwetsbaarheid. Het ging om een beveiligingslek dat eerder al bij HackerOne was gemeld. Verder onderzoek wees uit dat een medewerker van HackerOne bij het platform gemelde bugmeldingen opzocht en vervolgens gebruikte om zelf kwetsbare bedrijven direct te benaderen. Zeker zeven klanten van HackerOne zijn door de betreffende medewerker benaderd, zo laat het bedrijf weten.

Verder bleek dat de medewerker een vals HackerOne-account had aangemaakt en dat gebruikte om bugmeldingen van andere onderzoekers bij het platform in te dienen en zo een beloning voor niet uitgevoerd beveiligingsonderzoek te ontvangen. Volgens HackerOne komt het vaker voor dat onderzoekers dezelfde kwetsbaarheden ontdekken, alleen ging het in dit geval duidelijk om fraude. De betreffende medewerker, die inmiddels is ontslagen, had van 4 april tot 23 juni dit jaar toegang tot de systemen van HackerOne. Het bedrijf zegt maatregelen te hebben genomen om herhaling te voorkomen. Daarnaast zijn onderzoekers ingelicht van wie de inzendingen zijn bekeken.

Image

Reacties (3)
04-07-2022, 19:17 door Anoniem
2.5 maanden in dienst en dan al toegang.
05-07-2022, 09:00 door Anoniem
Door Anoniem: 2.5 maanden in dienst en dan al toegang.

Als dat tot je functieomschrijving behoort, dan is dat niet meer dan normaal. Als ik als security officer ergens binnen kom, dan heb ik ook meteen toegang tot gevoelige informatie zoals audit rapporten, pentestresultaten etc. Niets vreemds aan. De tijd dat mensen 6 maanden als junior nergens bij mochten komen en alleen over schouders mochten kijken ligt inmiddels ruim achter ons.
08-07-2022, 08:05 door Anoniem
Er is maar een dunne lijn tussen ethisch hacker en crimineel
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.