Prime De Bogue Hackerone

La plate-forme de coordination des vulnérabilités et de primes de bogues HackerOne a révélé vendredi qu’un ancien employé de l’entreprise avait accédé de manière inappropriée aux rapports de sécurité qui lui avaient été soumis à des fins personnelles.

« La personne a divulgué anonymement ces informations de vulnérabilité en dehors de la plate-forme HackerOne dans le but de réclamer des primes supplémentaires », a-t-il déclaré. a dit. « En moins de 24 heures, nous avons travaillé rapidement pour contenir l’incident en identifiant l’employé de l’époque et en coupant l’accès aux données. »

L’employé, qui avait accès aux systèmes HackerOne entre le 4 avril et le 23 juin 2022, pour trier les divulgations de vulnérabilités associées à différents programmes clients, a depuis été licencié par la société basée à San Francisco le 30 juin.

Qualifiant l’incident de « violation manifeste » de ses valeurs, de sa culture, de ses politiques et de ses contrats de travail, HackerOne a déclaré avoir été alerté de la violation le 22 juin par un client anonyme, qui lui a demandé « d’enquêter sur une divulgation de vulnérabilité suspecte » via un communication hors plateforme d’un individu avec le pseudo « rzlr » utilisant un langage « agressif » et « intimidant ».

Par la suite, l’analyse des données du journal interne utilisées pour surveiller l’accès des employés aux divulgations des clients a retracé l’exposition à un initié voyou, dont l’objectif, a-t-il noté, était de soumettre à nouveau des rapports de vulnérabilité en double aux mêmes clients utilisant la plate-forme pour recevoir des paiements monétaires.

Publicité

« L’acteur de la menace a créé un compte HackerOne sockpuppet et a reçu des primes dans une poignée de divulgations », a détaillé HackerOne dans un rapport d’incident post-mortem, ajoutant que sept de ses clients avaient reçu une communication directe de l’acteur de la menace.

« Après la piste de l’argent, nous avons reçu la confirmation que la prime de l’acteur de la menace était liée à un compte qui bénéficiait financièrement à un employé de HackerOne de l’époque. L’analyse du trafic réseau de l’acteur de la menace a fourni des preuves supplémentaires reliant les comptes principal et sockpuppet de l’acteur de la menace. »

La Cyber-Sécurité

HackerOne a en outre déclaré avoir informé individuellement les clients des rapports de bogues exacts auxquels la partie malveillante avait accédé ainsi que de l’heure de l’accès, tout en soulignant qu’il n’avait trouvé aucune preuve d’utilisation abusive des données de vulnérabilité ou d’accès à d’autres informations client.

En plus de cela, la société a indiqué qu’elle visait à mettre en œuvre des mécanismes de journalisation supplémentaires pour améliorer la réponse aux incidents, isoler les données pour réduire le « rayon de l’explosion » et améliorer les processus en place pour identifier les accès anormaux et détecter de manière proactive les menaces internes.

Rate this post
Publicité
Article précédentComment installer des packages sur RHEL 8 localement à l’aide de DVD ISO
Article suivantL’entreprise du fondateur de Geely dans la poussée des smartphones après l’achat de la participation de Meizu
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici