HackerOne ha scoperto che un suo dipendente ha sottratto dalla piattaforma i dati di alcune vulnerabilità per venderli e ottenere un guadagno personale. L’indagine interna è stata avviata in seguito alla segnalazione di un cliente che aveva ricevuto una comunicazione minacciosa da un certo rzlr. Ovviamente il dipendente è stato licenziato e potrebbe anche essere denunciato alle forze dell’ordine.
Dipendente infedele vendeva bug di sicurezza
HackerOne è una piattaforma che mette in contatto le aziende con i ricercatori di sicurezza per la divulgazione coordinata delle vulnerabilità. Svolge anche il ruolo di intermediario per le ricompense (bug bounty). Il 22 giugno, un cliente ha chiesto di indagare sulla divulgazione di una vulnerabilità all’esterno della piattaforma. Il cliente ha dichiarato che il linguaggio usato dal dipendente era anche intimidatorio. Inoltre, il bug era simile ad uno già segnalato.
In seguito all’indagine, HackerOne ha individuato il singolo “insider”, chiuso il suo accesso alla piattaforma e bloccato il notebook aziendale da remoto. Il dipendente aveva creato un account aggiuntivo per divulgare le informazioni sulle vulnerabilità e incassare il premio in denaro. Ciò è avvenuto tra il 4 aprile e il 23 giugno. L’attività illecita del dipendente è stata scoperta seguendo il flusso di denaro e il traffico di rete.
HackerOne continuerà l’analisi forense dei log e dei dispositivi usati dal dipendente. Finora i clienti contattati risultano sette. Le informazioni sull’indagine verranno condivise con altre piattaforma bug bounty per scoprire se i loro clienti hanno ricevuto simili comunicazioni. Fortunatamente i dettagli delle vulnerabilità non sono state divulgate a gruppi di cybercriminali. In ogni caso è sempre meglio utilizzare un antivirus.