当前位置:网站首页>偷窃他人漏洞报告变卖成副业,漏洞赏金平台出“内鬼”
偷窃他人漏洞报告变卖成副业,漏洞赏金平台出“内鬼”
2022-07-06 09:41:00 【CSDN资讯】
整理 | 于轩
出品 | 程序人生(ID:coder_life)
在如今高度发达的网络大数据时代,各个公司的发展都依赖着互联网的加持。但同时,各种各样的安全漏洞、非法破解等问题层出不穷,再完美的系统也会存在容易被攻击的Bug。
在这样的背景下,公司与其让黑客发现并攻击其难以发现的安全漏洞,倒不如花钱请“白帽黑客”先披露,然后尽快做出修补。
本文提到的HackerOne就是全球知名的“白帽黑客”聚集地,它是一个用于协调漏洞披露,并为提交安全报告的漏洞猎手提供货币奖励的中介平台。
图源:CSDN付费下载自东方 IC
但在近日,HackerOne被曝出其一内部员工窃取了其他人通过该漏洞赏金平台提交的漏洞报告,并将相关报告披露给受影响的客户以索取经济奖励。
罪魁祸首被锁定
6月22日,HackerOne接到了一个客户的请求,让他们调查一个使用 "rzlr "账号的人通过非平台通信渠道披露的可疑漏洞。该客户注意到,同样的安全问题之前已经通过HackerOne提交过。
一般来说,漏洞碰撞,即多个研究人员发现并报告相同的安全问题,这种情况经常会发生。在这种情况下,真正的报告和来自威胁行为者的报告有明显的相似之处,这就促使人们要仔细观察。
HackerOne经过调查确定,其一名员工自4月4日加入公司至6月23日,已经访问该平台系统两个多月,并联系了七家公司来报告已经通过其系统披露的漏洞。
偷窃漏洞报告变卖成副业
该公司表示,这名流氓员工从其提交的一些报告中获得赏金。这使得HackerOne能够跟踪钱的去向,并确定肇事者是其为“众多客户项目” 分流漏洞披露的工作人员之一。
“威胁行为者创建了一个HackerOne傀儡账户,并在少数披露里获得了赏金。在确定这些赏金可能不正当后,公司联系了相关的支付供应商,他们与我们合作提供了更多的信息。”——HackerOne
在分析了该威胁行为者的网络流量后,HackerOne发现了更多的证据来将他们在平台上的主要账户和傀儡账户联系起来。最终在开始调查后不到24小时的时间,HackerOne确定了那名威胁行为者,并终止了他的系统访问权限、远程锁定了他的笔记本电脑。
在接下来的几天里,HackerOne对嫌疑人的电脑进行了远程取证成像和分析,并审查了对该员工在工作期间的数据访问日志,以确定该威胁行为者互动过的所有漏洞赏金项目。
6月30日,HackerOne解雇了这名威胁行为者:
“根据与律师的审查,我们将决定对此事进行刑事移交是否合适。我们继续对前员工产生的日志和使用的设备进行取证分析。”—— HackerOne
HackerOne指出,其前员工在与客户的互动中使用了“威胁性” 和 “恐吓性”语言,并敦促客户在收到以攻击性语气做出的披露时与该公司联系。
HackerOne表示,“在绝大多数情况下”,它没有证据表明漏洞数据被滥用。然而,那些被内部威胁行为者访问的报告,无论是出于恶意还是合法的目的,都已经被单独告知每个漏洞披露的访问日期和时间。
HackerOne还发邮件通知了平台上提交内容已被流氓员工访问过的黑客:
来源:@H4x0r-DZ推特
邮件告知相关黑客们该事件,并包括威胁行为者合法访问的报告清单,作为其工作的一部分,或意图滥用所提交的漏洞报告。此外,这位前员工提交的所有报告都被标记为重复,并不会对合法安全人员的支付产生影响。
HackerOne在事件报告中总结到:“总而言之,这是一个严重的事件。我们相信内部人员的访问现在已经得到控制。内部威胁是网络安全中最阴险的威胁之一,我们随时准备尽一切努力来减少未来发生此类事件的可能性。”
参考链接:
https://hackerone.com/reports/1622449
https://www.bleepingcomputer.com/news/security/rogue-hackerone-employee-steals-bug-reports-to-sell-on-the-side/
https://www.pcmag.com/news/a-hackerone-employee-stole-vulnerability-reports-from-security-researchers
— 推荐阅读 —
*苹果让 iPhone “挤牙膏”,是因为 Mac?
*IntelliJ IDEA、.NET 工具变贵,JetBrains 宣布全家桶涨价!
*苹果 5G 芯片研发失败?想要摆脱高通为时过早
边栏推荐
- Vscode matches and replaces the brackets
- The art of Engineering (1): try to package things that do not need to be exposed
- Application service configurator (regular, database backup, file backup, remote backup)
- PySpark算子处理空间数据全解析(5): 如何在PySpark里面使用空间运算接口
- The solution that flutterweb browser cannot be rolled back after refreshing
- [rapid environment construction] openharmony 10 minute tutorial (cub pie)
- Precipitated database operation class - version C (SQL Server)
- PySpark算子处理空间数据全解析(4): 先说说空间运算
- Xin'an Second Edition: Chapter 23 cloud computing security requirements analysis and security protection engineering learning notes
- 自动化运维利器-Ansible-Playbook
猜你喜欢
EasyCVR电子地图中设备播放器loading样式的居中对齐优化
Reppoints: advanced order of deformable convolution
The problem of "syntax error" when uipath executes insert statement is solved
一体化实时 HTAP 数据库 StoneDB,如何替换 MySQL 并实现近百倍性能提升
酷雷曼多种AI数字人形象,打造科技感VR虚拟展厅
Spark calculation operator and some small details in liunx
面试突击62:group by 有哪些注意事项?
sql语句优化,order by desc速度优化
2022年大厂Android面试题汇总(一)(含答案)
Establishment of graphical monitoring grafana
随机推荐
About selenium starting Chrome browser flash back
Kali2021 installation and basic configuration
06 products and promotion developed by individuals - code statistical tools
Grafana 9 is officially released, which is easier to use and more cool!
The art of Engineering (1): try to package things that do not need to be exposed
BearPi-HM_ Nano development environment
TCP connection is more than communicating with TCP protocol
Based on infragistics Document. Excel export table class
03 products and promotion developed by individuals - plan service configurator v3.0
Vscode replaces commas, or specific characters with newlines
Application service configurator (regular, database backup, file backup, remote backup)
网络分层概念及基本知识
Flink analysis (I): basic concept analysis
基于LNMP部署flask项目
Flink parsing (V): state and state backend
Deploy flask project based on LNMP
Uipath browser performs actions in the new tab
Flink parsing (III): memory management
How uipath determines that an object is null
05 personal R & D products and promotion - data synchronization tool