HackerOne表示,一名员工窃取了通过其平台提交的漏洞披露报告,这样他们就可以(至少试图)从公司的合作伙伴那里获得赏金。
许多公司已经启动了漏洞赏金计划,奖励那些揭露其产品漏洞的安全研究人员,而不是自己利用漏洞,在黑市上兜售,或者把它们卖给灰色市场上的零日漏洞经纪人。许多公司依靠HackerOne这样的平台来为他们运行这些程序。
HackerOne说(在新窗口中打开)今年6月,该公司“发现一名当时的员工为了个人利益不正当地访问了安全报告”。该公司表示:“此人在HackerOne平台之外匿名披露了这些漏洞信息,目的是索要额外的赏金。”“这明显违反了我们的价值观、文化、政策和雇佣合同。”
据报道,整个调查过程——从一位HackerOne合作伙伴对该员工最近提交的漏洞报告表示怀疑,到切断该员工对这些数据的访问权限——只用了不到24小时。(HackerOne表示,该公司已经解雇了这名有问题的员工,并正在与律师协商,以“决定对此事进行刑事调查是否合适”。)
“总之,”HackerOne表示,“这是一起严重事件。我们确信内部人员已经被控制住了。内部威胁是网络安全中最隐蔽的威胁之一,我们随时准备尽一切努力减少未来发生此类事件的可能性。”
该公司表示,为了应对这一事件,它正在对其流程进行一系列改进,例如收集可能与未来调查相关的额外数据,以及限制员工访问某些信息。目前还不清楚为什么这些安全措施——尤其是限制对披露报告的访问——还没有到位。
从好的方面来看,HackerOne表示,这名前雇员提交的所有报告都被标记为重复,这让它相信,支付给合法安全研究人员的费用没有受到影响。该公司表示,已向这名前雇员联系过的所有公司发送了电子邮件,并计划通知那些报告被入侵的黑客。