HackerOne-werknemer stal kwetsbaarheidsmeldingen en claimde zelf bugbounty’s – Computer – Nieuws

HackerOne-werknemer stal kwetsbaarheidsmeldingen en claimde zelf bugbounty’s – Computer – Nieuws

Een HackerOne-werknemer heeft kwetsbaarheidsmeldingen die het platform kreeg, misbruikt voor eigen gewin. De werknemer benaderde met die meldingen bedrijven en kreeg zo bij ‘een handjevol bedrijven’ geld. HackerOne heeft de werknemer ontslagen en overweegt juridische stappen.

De werknemer met de gebruikersnaam rzlr had als taak het beoordelen van de urgentie van kwetsbaarheidsmeldingen op HackerOne, schrijft het platform. Daardoor kreeg hij toegang tot meldingen van ethische hackers aan het bugbountyplatform.

Rzlr benaderde de bedrijven waarover de meldingen gingen ‘op een dreigende manier’ buiten het platform. Hij deed alsof hij de kwetsbaarheid zelf had gevonden, waardoor het voor de bedrijven leek alsof de kwetsbaarheid in korte tijd door twee verschillende onderzoekers was gespot. In werkelijkheid had rzlr zijn of haar melding gekopieerd van de HackerOne-melding.

Een ‘handjevol’ bedrijven zou daarna een bugbountybedrag hebben overgemaakt aan rzlr. HackerOne benadrukt dat de oorspronkelijke melders van de kwetsbaarheid het bugbountybedrag ook hebben gekregen en dat zij dus niet direct door de werknemer zijn benadeeld. Het platform zegt verder geen bewijs te hebben dat bedrijven het bugbountybedrag voor de oorspronkelijke melders hebben verlaagd, omdat ze geld moesten verdelen over de melder en rzlr.

HackerOne kwam de werknemer anderhalve week geleden op het spoor, toen een bedrijf contact opnam met HackerOne vanwege ‘intimiderende en verdachte communicatie’ van rzlr. De melding van rzlr leek volgens het benaderde bedrijf verdacht veel op de melding van HackerOne. Het platform begon daarna een onderzoek, binnen 24 uur werd de werknemer gevonden via onder meer logging. Zijn of haar laptop werd een dag later op afstand vergrendeld en de werknemer werd op non-actief gesteld. Afgelopen donderdag werd het contract met de werknemer opgezegd. Hij of zij werkte 2,5 maand bij HackerOne.

Het platform zegt stappen te ondernemen om voorvallen als deze in de toekomst te voorkomen. Zo wil HackerOne meer mensen aannemen om proactief insider threats te kunnen opsporen. Ook wil het platform nieuwe werknemers beter screenen. Bij HackerOne kunnen ethische hackers kwetsbaarheden melden en geld krijgen via bugbounty’s. Onder meer PayPal, Facebook en GitHub zijn aangesloten bij het platform.

Bron: https://tweakers.net/nieuws/198682/hackerone-werknemer-stal-kwetsbaarheidsmeldingen-en-claimde-zelf-bugbountys.html

Giliam Budel

Giliam Budel is bij InternetBlabla.nl betrokken sinds 2020. Giliam is opgegroeid in een klein dorp nabij Utrecht. Ze verhuisde naar Breda om te studeren. Voordat ze betrokken raakte bij InternetBlaBla.nl heeft Giliam even als freelance journalist gewerkt bij een aantal radio stations. Daar versloeg ze politieke en economische verhalen met een digitale component.