La plate-forme de coordination des vulnérabilités et de primes de bogues HackerOne a révélé vendredi qu’un ancien employé de l’entreprise avait accédé de manière inappropriée aux rapports de sécurité qui lui avaient été soumis à des fins personnelles.
« La personne a divulgué anonymement ces informations de vulnérabilité en dehors de la plate-forme HackerOne dans le but de réclamer des primes supplémentaires », a-t-il déclaré. a dit. « En moins de 24 heures, nous avons travaillé rapidement pour contenir l’incident en identifiant l’employé de l’époque et en coupant l’accès aux données. »
L’employé, qui avait accès aux systèmes HackerOne entre le 4 avril et le 23 juin 2022, pour trier les divulgations de vulnérabilités associées à différents programmes clients, a depuis été licencié par la société basée à San Francisco le 30 juin.
Qualifiant l’incident de « violation manifeste » de ses valeurs, de sa culture, de ses politiques et de ses contrats de travail, HackerOne a déclaré avoir été alerté de la violation le 22 juin par un client anonyme, qui lui a demandé « d’enquêter sur une divulgation de vulnérabilité suspecte » via un communication hors plateforme d’un individu avec le pseudo « rzlr » utilisant un langage « agressif » et « intimidant ».
Par la suite, l’analyse des données du journal interne utilisées pour surveiller l’accès des employés aux divulgations des clients a retracé l’exposition à un initié voyou, dont l’objectif, a-t-il noté, était de soumettre à nouveau des rapports de vulnérabilité en double aux mêmes clients utilisant la plate-forme pour recevoir des paiements monétaires.
« L’acteur de la menace a créé un compte HackerOne sockpuppet et a reçu des primes dans une poignée de divulgations », a détaillé HackerOne dans un rapport d’incident post-mortem, ajoutant que sept de ses clients avaient reçu une communication directe de l’acteur de la menace.
« Après la piste de l’argent, nous avons reçu la confirmation que la prime de l’acteur de la menace était liée à un compte qui bénéficiait financièrement à un employé de HackerOne de l’époque. L’analyse du trafic réseau de l’acteur de la menace a fourni des preuves supplémentaires reliant les comptes principal et sockpuppet de l’acteur de la menace. »
HackerOne a en outre déclaré avoir informé individuellement les clients des rapports de bogues exacts auxquels la partie malveillante avait accédé ainsi que de l’heure de l’accès, tout en soulignant qu’il n’avait trouvé aucune preuve d’utilisation abusive des données de vulnérabilité ou d’accès à d’autres informations client.
En plus de cela, la société a indiqué qu’elle visait à mettre en œuvre des mécanismes de journalisation supplémentaires pour améliorer la réponse aux incidents, isoler les données pour réduire le « rayon de l’explosion » et améliorer les processus en place pour identifier les accès anormaux et détecter de manière proactive les menaces internes.