知名漏洞眾測平臺Rogue HackerOne的一名員工，竟然利用工作職務(wù)之便，竊取通過漏洞賞金平臺提交的漏洞報告，出售給那些受影響的用戶，以此索取現(xiàn)金獎勵。據(jù)HackerOne表示，這名員工聯(lián)系了7名HackerOne 客戶，并在少數(shù)披露中獲取了賞金。

眾所周知，HackerOne是一個漏洞眾測平臺，用于協(xié)調(diào)漏洞披露，并為提交安全報告的白帽黑客提供獎勵。目前，HackerOne已為多家世界知名技術(shù)公司提供服務(wù)。

事件詳細(xì)經(jīng)過?

6月22日，HackerOne正式回應(yīng)用戶的請求，調(diào)查一個使用“rzlr”昵稱的人，通過平臺之外的通信渠道泄露可疑漏洞。有用戶注意到，此前已經(jīng)通過 HackerOne 提交了相同的安全問題。

多位安全研究人員發(fā)現(xiàn)并報告相同的安全問題其實(shí)很常見，在這樣的情況下，真實(shí)報告和來自攻擊者的報告存在明顯相似之處，因此需要平臺仔細(xì)觀察。

經(jīng)過調(diào)查，HackerOne平臺確定，有一名員工自 4 月 4 日加入公司以來，至6月23日已經(jīng)訪問該平臺兩個多月，并聯(lián)系了七家公司報告通過平臺披露的漏洞。

HackerOne公司表示，這名員工為他們提交的一些報告獲得了報酬。這使得HackerOne能跟蹤錢的去向并確定肇事者是其為“眾多客戶項目”分流漏洞披露的工作人員之一。

HackerOne在報告內(nèi)寫到，這名員工創(chuàng)建了一個 HackerOne sockpuppet 帳戶，并在少數(shù)披露中獲得了賞金。在確定這些賞金可能不正當(dāng)后，HackerOne 聯(lián)系了相關(guān)的支付提供商，他們與我們合作提供了更多信息。

分析該威脅者的網(wǎng)絡(luò)流量發(fā)現(xiàn)了更多的證據(jù)，從而將他們在HackerOne上的主要賬戶和傀儡賬戶聯(lián)系起來。

在開始調(diào)查后不到24小時，HackerOne 確定了這名員工的行為，終止了他們的系統(tǒng)訪問，并在調(diào)查期間遠(yuǎn)程鎖定了他們的筆記本電腦。

在接下來的幾天里，HackerOne對嫌疑人的電腦進(jìn)行了遠(yuǎn)程取證成像和分析并完成了對該員工在工作期間的數(shù)據(jù)訪問日志的審查，以此確定了該威脅行為人與之互動的所有漏洞賞金項目。

6月30日，HackerOne開除了這名員工，并在律師的建議下，將該名員工移交給相關(guān)部門，并對其日志和設(shè)備進(jìn)行取證分析。

HackerOne 指出，其前員工在與客戶的互動中使用了“威脅”和“恐嚇”語言，并敦促客戶在收到以攻擊性語氣披露的信息時與公司聯(lián)系。

該公司表示，“在絕大多數(shù)情況下”，它沒有證據(jù)表明漏洞數(shù)據(jù)被濫用。但是，該員工出于惡意或合法目的訪問了報告的客戶，已被單獨(dú)告知每個漏洞披露的訪問日期和時間。