首页 > 业界 > 关键词  > 漏洞最新资讯  > 正文

HackerOne的流氓员工偷窃漏洞报告并将其作为副业出售

2022-07-03 12:49 · 稿源: cnbeta

一名HackerOne员工窃取了通过漏洞赏金平台提交的漏洞报告并将其披露给受影响的客户以索取经济奖励。该公司于当地时间周五表示,这名流氓员工联系了7名客户并在少数披露中获取了赏金。

HackerOne是一个协调漏洞披露的平台并为提交安全报告的漏洞猎手提供货币奖励的中介。

抓住罪魁祸首

6月22日,HackerOne回应了一个客户的请求,通过一个使用“rzlr”工具的人的非平台通信渠道调查一个可疑的漏洞披露。

该客户注意到,同样的安全问题之前已经通过HackerOne提交。

漏洞碰撞即多个研究人员发现并报告相同的安全问题是经常发生的;在这种情况下,真正的报告和来自威胁行为者的报告有明显的相似之处从而促使人们仔细观察。

HackerOne的调查确定,其一名员工自4月4日加入公司至6月23日有两个多月的时间可以访问该平台并联系了七家公司,报告已经通过其系统披露的漏洞。

威胁行为者谋取了报酬

该公司表示,流氓雇员为他们提交的一些报告获得了报酬。这使得HackerOne能跟踪钱的去向并确定肇事者是其为“众多客户项目”分流漏洞披露的工作人员之一。

HackerOne披露称:“该威胁行为者创建了一个HackerOne的傀儡账户并在少数几个披露中获得了赏金。在发现这些赏金可能是不正当的后,HackerOne联系了相关的支付供应商,他们跟我们合作以提供了更多的信息。”

分析该威胁者的网络流量发现了更多的证据,从而将他们在HackerOne上的主要账户和傀儡账户联系起来。

在开始调查后不到24小时,该漏洞赏金平台确定了威胁行为者、终止了他们的系统访问并在调查期间远程锁定了他们的笔记本电脑。

在接下来的几天里,HackerOne对嫌疑人的电脑进行了远程取证成像和分析并完成了对该员工在工作期间的数据访问日志的审查,以此确定了该威胁行为人与之互动的所有漏洞赏金项目。

6月30日,HackerOne终止了对该威胁行为者的雇用。

“根据跟律师的审查,我们将决定对此事进行刑事移交是否合适。我们继续对前雇员产生的日志和使用的设备进行取证分析,” HackerOne说道。

HackerOne指出,其前雇员在跟客户的互动中使用了“威胁性”和“恐吓性”语言,另外还敦促客户在收到以攻击性语气进行的披露时跟公司联系。

该公司表示,在绝大多数情况下,它没有证据表明漏洞数据被滥用。然而被内部威胁行为者访问的报告--无论是出于邪恶还是合法的目的--都已经被单独告知每个漏洞披露的访问日期和时间。

举报

  • 相关推荐
  • 哈弗赵永坡:不说工况宣传发动机最高热效率就是耍流氓

    快科技4月16日消息,在正在举办的第二代哈弗枭龙Max上市发布会上,长城汽车哈弗、欧拉品牌总经理赵永坡登台进行了分享。赵永坡介绍,第二代枭龙Max搭载了Hi4超级混动专用发动机,其工程热效率41.5%。要知道友商们已经将热效率推高到了45%、46%甚至48%,那么为何长城拿出来的热效率仅41.5%,这不是自打自脸吗?赵永坡现场直言:不说工况宣传发动机最高热效率就是耍流氓,都是厂家的文字游戏”,据介绍,长城这款发动机工程热效率是整车状态下带负载测出,绝对是行业一流水平。此外,Hi4配备了超级混动高效电机,前桥驱动模块传动系统最高效

  • TAC 发布黄金代币分析报告,携手 Matrixdock 提升现实资产代币化行标准

    5月2日,TAC与Matrixdock联合发布《聚焦TAC成员》系列报告,首期聚焦Matrixport旗下RWA平台Matrixdock的黄金代币XAUm。报告指出XAUm通过1:1锚定LBMA认证的投资级黄金,解决了实物黄金流动性不足、透明度低等问题,兼具区块链技术优势和金融投资属性。XAUm采用信托架构实现资产隔离,支持实物赎回,并通过定期审计和链上验证确保储备透明度。报告认为黄金代币将重塑黄金资产形态,未来或成为重要金融工具。TAC表示将持续推动RWA领域标准化建设,促进行业发展。

  • Anthropic警告:距离无人干涉的 “AI员工” 时代,只剩一年了!

    未来,这些 AI 主体将更像是人类同事,而非我们如今所使用的工具,即真正的“AI员工”……

  • 曝iPhone 18 Pro首发屏下Face ID:苹果消灭药丸屏

    从最新爆料来看,iPhone 18 Pro系列将会升级到全新的单挖孔屏,这是目前安卓阵营的主流屏幕形态。区别在于安卓阵营普遍都是以屏幕指纹为主,而iPhone 18 Pro系列仍然是3D人脸识别。

  • 刘强东母亲现身京东食堂煮饺子:与员工亲切交 没有架子

    京东创始人刘强东母亲王绍侠近日被拍到在京东食堂为员工煮饺子,这一暖心举动引发热议。70多岁的老人动作麻利,与员工亲切交流毫无架子。这并非她首次参与公司事务,此前在京东智慧城建设期间就曾参与工地监工。王绍侠早年与丈夫以行船为生,将刘强东培养成才。刘强东出身江苏宿迁农村,大学入学时曾接受乡亲们凑的500元和76个鸡蛋的资助。今年1月,王绍侠还在老家向邻里展示儿媳章泽天购置的新衣,并亲自下厨制作家乡小吃答谢工作人员。

  • Check Point公司获评GigaOm企防火墙报告领导者

    Check Point在GigaOm最新企业防火墙评估报告中被评为"领导者",并成为14家厂商中唯一的"表现优异者"。其Quantum安全解决方案凭借灵活性、可扩展性、易管理性和强大的生态系统获得最高分。Check Point通过AI驱动的Infinity平台提供卓越网络安全方案,具备三大核心优势:1)高性能架构,支持1000Gbps速度;2)AI威胁检测能力,集成50多种AI功能;3)自动化管理工具,包含70个预配置脚本。公司产品副总裁表示,这一认可彰显了Check Point在数字保护方面的战略进展。随着网络攻击量激增44%,企业需要更智能的安全解决方案,Check Point正通过持续创新满足这一需求。

  • 警告!你的大脑数据正在被出售……

    与其他个人数据不同,神经数据是直接从人类大脑中获取的,即使经过匿名处理,也能揭示出心理健康状况、情绪状态和认知模式。这些信息不仅非常私密,从战略角度看也极为敏感……

  • 苹果加紧生产iPhone 17、Mac等关键产品!美版靠印度和越南了

    快科技4月14日消息,据媒体报道,苹果利用美国关税的90天宽限期,正加紧在印度和越南生产其包括iPhone 17、MacBook和iPad在内的关键产品。知情人士透露,苹果今年早些时候已要求主要供应商加大在印度的iPhone生产力度,然而由于印度当地工厂产能已达极限,进一步增加产能面临困难。为此,苹果已协助供应商采购设备,预计此举将使印度的iPhone产量增加数百万部。苹果计划今�

  • 小红书取消竞限制:尊重员工 分享公司成长价值

    小红书4月24日发布全员信,宣布自5月1日起取消现金和期权竞业限制,释放现有竞业协议。公司强调基于信任机制,希望与员工建立长期关系,不再通过竞业限制个体流动,仅要求履行信息保密义务。同时开启2025年员工置换期权及期权回购项目,取消隔周周六工作安排。这些调整体现公司"以人为本"理念,鼓励员工选择最适合的工作方式,在业务挑战中实现突破。变化均于5月1日生效。

  • IBM发布2025年一季度业绩报告:软件务引领强劲增长,自由现金稳步提升

    IBM发布2025年第一季度财报,营收145亿美元同比增长1%,软件业务增长7%表现亮眼。生成式AI业务规模超60亿美元,较上季度增长近10亿美元。CEO表示得益于全球客户对AI的强劲需求,公司对全年增长保持乐观。财报显示:软件业务营收63亿美元增长7%,混合云业务增长12%;咨询业务营收51亿美元下降2%;基础设施业务营收29亿美元下降6%。公司经营现金流44亿美元,自由现金流20亿美元。IBM预计2025年全年营收至少增长5%,自由现金流达135亿美元。