HackerOne, la plus grande plate-forme de primes de bogues, vole les rapports de bogues soumis par des chercheurs sur des sites externes et d'autres plates-formes L'employé qui a téléchargé aurait été licencié. Intérêts personnels.
HackerOne est l'une des plates-formes utilisées par les grandes entreprises et les agences gouvernementales pour gérer les programmes de primes de bogues. HackerOne reçoit les rapports de bogues logiciels des chercheurs en sécurité, les trie en interne et décide de récompenser ou non ceux qui les signalent.
Il y a beaucoup d'argent en jeu. En 2020, HackerOne a versé plus de 100 millions de dollars aux participants qui ont signalé plus de 181 000 vulnérabilités via une prime pour gérerdepuis son lancement en 2012. Zoom, client de HackerOnea fait don de 1,4 million de dollars via un programme géré par HackerOne l'année dernière
le co-fondateur de HackerOne et CISO Chris Evans a déclarévendredi. Dans son article de blog, il déclare. Un ancien employé chargé de filtrer les rapports de bogues pour un certain nombre de programmes de primes de bogues a eu un accès inapproprié aux rapports de sécurité entre le 4 avril et le 22 juin. Il a ensuite divulgué des informations en dehors de la plate-forme HackerOne et a réclamé des primes supplémentaires.
Selon Evans, les employés ont reçu une prime pour "une poignée de divulgations".
Publicité
Bugs et Bug Money
L'entreprise a été impliquée dans un incident après avoir reçu des plaintes de clients. Le 22 juin, je lui ai demandé d'enquêter sur le "rapport de vulnérabilité suspecte créé en dehors de la plate-forme HackerOne". Les chercheurs à l'origine du rapport ont utilisé le nom "rzlr" pour utiliser la "communication menaçante" pour la divulgation des vulnérabilités.
"Ce client était sceptique sur le fait qu'il s'agissait d'une véritable coïncidence et a fourni un raisonnement détaillé", a déclaré Evans.
Selon Evans, un ancien employé a divulgué anonymement ces informations de vulnérabilité en dehors de la plate-forme HackerOne afin de réclamer des incitations supplémentaires.
"Dans nos recherches, un employé (actuellement original) de HackerOne accède de manière inappropriée aux données de vulnérabilité d'un client et duplique le même client à des fins personnelles. J'en conclus que j'ai envoyé le sexe", explique-t-il.
"Il s'agit d'une violation flagrante de nos valeurs, de notre culture, de nos politiques et de nos contrats de travail. Dans les 24 heures, nous identifierons les employés actuels et bloquerons l'accès aux données. Nous avons donc travaillé rapidement pour contenir l'incident. Puis nous avons licencié nos employés et renforcé nos défenses pour éviter des situations similaires à l'avenir. "
HackerOne a déclaré le 23 juin. Bloqué l'accès des employés au système et verrouillé l'ordinateur portable à distance. L'entreprise a interrogé des employés le 24 juin et "a transporté un ordinateur portable d'un acteur malveillant qui a été suspendu et a effectué une imagerie et une analyse à distance" le 27 juin.
Les employés qui accèdent au système depuis le 4 avril ont été en contact avec sept clients HackerOne.
HackerOne a officiellement licencié un employé le 30 juin. Au 1er juillet, HackerOne a informé tous les clients dont le programme de primes de bogue est lié à leurs employés.
HackerOne examine comment procéder
HackerOne est convaincu que les diverses divulgations ont été faites par un seul employé. " dit Evans.
Evans reconnaît que le système de détection et de réponse existant de HackerOne n'a pas détecté cette menace à l'avance. L'entreprise prévoit d'améliorer son processus de filtrage des employés, d'améliorer l'isolation des données et la journalisation du réseau, de mettre en œuvre de nouvelles simulations et de tester sa capacité à détecter les menaces internes.
HackerOne a levé 49 millions de dollars en janvier eta totalisé 160 millions de dollars. Ses clients incluent le Département américain de la Défense, Dropbox, General Motors, GitHub, Goldman Sachs, Google, Hyatt, Microsoft, le Département de la Défense de Singapour, Nintendo, PayPal, Slack, Starbucks, Twitter et Yahoo.
Source :"ZDNet.com"
