【安全圈】HackerOne现内鬼，员工窃取漏洞报告向7家开发商索要赏金

安全圈

关键词

漏洞、勒索

HackerOne是一个协调漏洞披露的平台并为提交安全报告的漏洞猎手提供货币奖励的中介 , 该平台与很多科技公司合作 , 但没想到竟然还有内鬼窃取漏洞报告找开发商要赎金，目前这名内鬼已经被抓并且正在评估是否转刑事责任。

这种借助平台薅白帽黑客和开发商羊毛的行为应该是首次出现，目前没有证据表明相关漏洞报告泄露到网上。

抓住罪魁祸首

6月22日，HackerOne回应了一个客户的请求，通过一个使用“rzlr”工具的人的非平台通信渠道调查一个可疑的漏洞披露。

该客户注意到，同样的安全问题之前已经通过HackerOne提交。

漏洞碰撞即多个研究人员发现并报告相同的安全问题是经常发生的；在这种情况下，真正的报告和来自威胁行为者的报告有明显的相似之处从而促使人们仔细调查。而 HackerOne 调查后发现竟然是内鬼，利用其权限访问一系列报告。甚至调查还发现这名内鬼用言语威胁开发商必须提供赏金否则就公开漏洞。

联系7家开发商索要赏金：

在开始调查后不到24小时，该漏洞赏金平台确定了威胁行为者、终止了他的系统访问并在调查期间远程锁定了他的笔记本电脑。

在接下来的几天里，HackerOne对嫌疑人的电脑进行了远程取证成像和分析并完成了对该员工在工作期间的数据访问日志的审查，以此确定了该威胁行为人与之互动的所有漏洞赏金项目。

6月30日，HackerOne终止了对该威胁行为者的雇用。

调查显示这名内鬼四月份入职以来多次访问漏洞报告，主动联系七家开发商索要赏金实现对白帽黑客的截胡。

正常情况下某个漏洞开发商如果已经知晓那么就不会再为后来者提供赏金，这名内鬼的行为实际上就是截胡。目前内鬼账户已经被封锁且证据已经被固定，平台已经聘请律师处理此事，主要评估是否要将此事转为刑事。

目前没有证据表明有漏洞在网上公开泄露，不过 HackerOne 还算实诚主动披露此事件并联系受影响的白帽。因此调查清楚后白帽黑客的实际赏金收入应该不会受影响，即便开发商已经提供赏金估计平台也会提供补偿。

END

阅读推荐

安全圈

←扫码关注我们

网罗圈内热点专注网络安全

实时资讯一手掌握！

好看你就分享有用就点个赞

支持「安全圈」就点个三连吧！