Seorang karyawan HackerOne mencuri laporan kerentanan yang dikirimkan melalui platform bug bounty dan mengungkapkannya kepada pelanggan yang terpengaruh untuk mengklaim hadiah finansial.
Pekerja nakal telah menghubungi sekitar setengah lusin pelanggan HackerOne dan mengumpulkan hadiah “dalam beberapa pengungkapan,” kata perusahaan itu pada hari Jumat.
HackerOne adalah platform untuk mengoordinasikan pengungkapan kerentanan dan menengahi hadiah uang untuk pemburu bug yang mengirimkan laporan keamanan.
Pada 22 Juni, HackerOne menanggapi permintaan pelanggan untuk menyelidiki pengungkapan kerentanan yang mencurigakan melalui saluran komunikasi di luar platform dari seseorang yang menggunakan pegangan “rzlr.”
Pelanggan telah memperhatikan bahwa masalah keamanan yang sama sebelumnya telah dikirimkan melalui HackerOne.
Tabrakan bug, di mana banyak peneliti menemukan dan melaporkan masalah keamanan yang sama, sering terjadi; dalam hal ini, laporan asli dan laporan dari aktor ancaman memiliki kesamaan yang jelas yang mendorong untuk melihat lebih dekat.
Investigasi HackerOne menentukan bahwa salah satu karyawannya memiliki akses ke platform selama lebih dari dua bulan, sejak mereka bergabung dengan perusahaan pada 4 April hingga 23 Juni, dan menghubungi tujuh perusahaan untuk melaporkan kerentanan yang telah diungkapkan melalui sistemnya.
Karyawan nakal itu menerima hadiah untuk beberapa laporan yang mereka kirimkan, kata perusahaan itu. Ini memungkinkan HackerOne untuk mengikuti jejak uang dan mengidentifikasi pelaku sebagai salah satu pekerjanya yang melakukan triage pengungkapan kerentanan untuk “banyak program pelanggan.”
Menganalisis lalu lintas jaringan aktor ancaman mengungkapkan lebih banyak bukti yang menghubungkan akun utama dan sockpuppet mereka di HackerOne.
Kurang dari 24 jam setelah memulai penyelidikan, platform bug bounty mengidentifikasi pelaku ancaman, menghentikan akses sistem mereka, dan mengunci laptop mereka dari jarak jauh sambil menunggu penyelidikan.
Selama beberapa hari berikutnya, HackerOne melakukan pencitraan forensik jarak jauh dan analisis komputer tersangka dan selesai meninjau log akses data untuk karyawan tersebut selama masa kerja untuk menentukan semua program hadiah bug yang berinteraksi dengan aktor ancaman.
Pada 30 Juni, HackerOne menghentikan pekerjaan aktor ancaman.
HackerOne mencatat bahwa mantan karyawannya telah menggunakan bahasa “mengancam” dan “mengintimidasi” dalam interaksi mereka dengan pelanggan dan mendesak pelanggan untuk menghubungi perusahaan jika mereka menerima pengungkapan yang dibuat dengan nada agresif.
Perusahaan mengatakan bahwa “dalam sebagian besar kasus” tidak ada bukti data kerentanan telah disalahgunakan. Namun, pelanggan yang memiliki laporan yang diakses oleh pelaku ancaman internal, baik untuk tujuan jahat atau sah, telah diinformasikan secara individual tentang tanggal dan waktu akses untuk setiap pengungkapan kerentanan.
Pemberitahuan tersebut memberi tahu peretas tentang insiden tersebut dan menyertakan daftar laporan yang diakses oleh aktor ancaman baik secara sah, sebagai bagian dari pekerjaan mereka, atau dengan maksud untuk menyalahgunakan kerentanan yang dikirimkan.
Pembaruan [3 Juli, 14:21 EST]: Artikel diperbarui dengan pemberitahuan HackerOne kepada peretas dengan laporan yang diakses oleh karyawan nakal.
Sumber: Bleeping Computer
