偷窃他人漏洞报告变卖成副业，漏洞赏金平台出“内鬼”

在如今高度发达的网络大数据时代，各个公司的发展都依赖着互联网的加持。但同时，各种各样的安全漏洞、非法破解等问题层出不穷，再完美的系统也会存在容易被攻击的Bug。

在这样的背景下，公司与其让黑客发现并攻击其难以发现的安全漏洞，倒不如花钱请“白帽黑客”先披露，然后尽快做出修补。

本文提到的HackerOne就是全球知名的“白帽黑客”聚集地，它是一个用于协调漏洞披露，并为提交安全报告的漏洞猎手提供货币奖励的中介平台。

但在近日，HackerOne被曝出其一内部员工窃取了其他人通过该漏洞赏金平台提交的漏洞报告，并将相关报告披露给受影响的客户以索取经济奖励。

罪魁祸首被锁定

6月22日，HackerOne接到了一个客户的请求，让他们调查一个使用 "rzlr "账号的人通过非平台通信渠道披露的可疑漏洞。该客户注意到，同样的安全问题之前已经通过HackerOne提交过。

一般来说，漏洞碰撞，即多个研究人员发现并报告相同的安全问题，这种情况经常会发生。在这种情况下，真正的报告和来自威胁行为者的报告有明显的相似之处，这就促使人们要仔细观察。

HackerOne经过调查确定，其一名员工自4月4日加入公司至6月23日，已经访问该平台系统两个多月，并联系了七家公司来报告已经通过其系统披露的漏洞。

偷窃漏洞报告变卖成副业

该公司表示，这名流氓员工从其提交的一些报告中获得赏金。这使得HackerOne能够跟踪钱的去向，并确定肇事者是其为“众多客户项目” 分流漏洞披露的工作人员之一。

“威胁行为者创建了一个HackerOne傀儡账户，并在少数披露里获得了赏金。在确定这些赏金可能不正当后，公司联系了相关的支付供应商，他们与我们合作提供了更多的信息。”——HackerOne

在分析了该威胁行为者的网络流量后，HackerOne发现了更多的证据来将他们在平台上的主要账户和傀儡账户联系起来。最终在开始调查后不到24小时的时间，HackerOne确定了那名威胁行为者，并终止了他的系统访问权限、远程锁定了他的笔记本电脑。

在接下来的几天里，HackerOne对嫌疑人的电脑进行了远程取证成像和分析，并审查了对该员工在工作期间的数据访问日志，以确定该威胁行为者互动过的所有漏洞赏金项目。

6月30日，HackerOne解雇了这名威胁行为者：

“根据与律师的审查，我们将决定对此事进行刑事移交是否合适。我们继续对前员工产生的日志和使用的设备进行取证分析。”—— HackerOne

HackerOne指出，其前员工在与客户的互动中使用了“威胁性” 和 “恐吓性”语言，并敦促客户在收到以攻击性语气做出的披露时与该公司联系。

HackerOne表示，“在绝大多数情况下”，它没有证据表明漏洞数据被滥用。然而，那些被内部威胁行为者访问的报告，无论是出于恶意还是合法的目的，都已经被单独告知每个漏洞披露的访问日期和时间。

HackerOne还发邮件通知了平台上提交内容已被流氓员工访问过的黑客：

来源：@H4x0r-DZ推特

邮件告知相关黑客们该事件，并包括威胁行为者合法访问的报告清单，作为其工作的一部分，或意图滥用所提交的漏洞报告。此外，这位前员工提交的所有报告都被标记为重复，并不会对合法安全人员的支付产生影响。

HackerOne在事件报告中总结到：“总而言之，这是一个严重的事件。我们相信内部人员的访问现在已经得到控制。内部威胁是网络安全中最阴险的威胁之一，我们随时准备尽一切努力来减少未来发生此类事件的可能性。”

参考链接：

1.HackerOne

2.https://www.bleepingcomputer.com/news/security/rogue-hackerone-employee-steals-bug-reports-to-sell-on-the-side/

3.A HackerOne Employee Stole Vulnerability Reports From Security Researchers | PCMag

二十年前，《程序员》创刊时，我们要全面关注软件人的成长。今天，我们依然初心不变：在一行行代码的背后，是一颗颗鲜活的开发者想要改变世界的雄心壮志。因此，《新程序员 004》从 C++之父 Bjarne Stroustrup、C# 之父 Anders Hejlsberg、MySQL 之父 Michael "Monty" Widenius、PostgreSQL 全球开发组联合创始人 Bruce Momjian 等程序员祖师爷，到阿里巴巴副总裁贾扬清、指令集创始人兼董事长潘爱民、Vue.js 作者尤雨溪……48 位技术大咖，共创我们的程序人生、我们的技术时代。《新程序员 004》已全面上市，欢迎订阅！