漏洞共享平台HackerOne出现内鬼 其员工窃取漏洞报告找开发商索要赏金
HackerOne是知名的漏洞报告和共享平台 , 该平台与很多科技公司合作 , 托管赏金计划以改善产品的安全性。
但没想到竟然还有内鬼窃取漏洞报告找开发商要赎金,目前这名内鬼已经被抓并且正在评估是否转刑事责任。
这种借助平台薅白帽黑客和开发商羊毛的行为应该是首次出现,目前没有证据表明相关漏洞报告泄露到网上。
该平台的运作模式是白帽黑客们发现漏洞后通过平台提交,平台会联系产品开发商修复漏洞和对漏洞评级等。
最终开发商会出资作为赏金奖励提交漏洞的白帽黑客,包括微软都选择 HackerOne 作为合作平台获取漏洞。
这名被抓的雇员来自开发商的举报,有开发商联系平台要求调查其雇员通过外部通信渠道向开发商披露漏洞。
这家开发商此前已经注意到收到相同的漏洞提醒,但正常情况下某个漏洞同时被多个研究人员发现也很常见。
因此需要谨慎调查后再确认潜在威胁,而 HackerOne 调查后发现竟然是内鬼,利用其权限访问一系列报告。
甚至调查还发现这名内鬼用言语威胁开发商必须提供赏金否则就公开漏洞,但不知道是否有开发商提供赏金。
接到举报后平台很快就确定内鬼的身份并拿到笔记本电脑获取证据,包括所有访问日志等都被固定作为证据。
调查显示这名内鬼四月份入职以来多次访问漏洞报告,主动联系七家开发商索要赏金实现对白帽黑客的截胡。
正常情况下某个漏洞开发商如果已经知晓那么就不会再为后来者提供赏金,这名内鬼的行为实际上就是截胡。
目前内鬼账户已经被封锁且证据已经被固定,平台已经聘请律师处理此事,主要评估是否要将此事转为刑事。
目前没有证据表明有漏洞在网上公开泄露,不过 HackerOne 还算实诚主动披露此事件并联系受影响的白帽。
因此调查清楚后白帽黑客的实际赏金收入应该不会受影响,即便开发商已经提供赏金估计平台也会提供补偿。