La plataforma de coordinación de vulnerabilidades y recompensas por errores HackerOne reveló el viernes que un ex empleado de la empresa accedió indebidamente a los informes de seguridad que se le enviaron para beneficio personal.
«La persona reveló de forma anónima esta información de vulnerabilidad fuera de la plataforma HackerOne con el objetivo de reclamar recompensas adicionales», dijo . «En menos de 24 horas, trabajamos rápidamente para contener el incidente identificando al entonces empleado y cortando el acceso a los datos».
El empleado, que tuvo acceso a los sistemas HackerOne entre el 4 de abril y el 23 de junio de 2022, para evaluar las divulgaciones de vulnerabilidades asociadas con diferentes programas de clientes, fue despedido por la empresa con sede en San Francisco el 30 de junio.
Al calificar el incidente como una «clara violación» de sus valores, cultura, políticas y contratos de trabajo, HackerOne dijo que un cliente no identificado le alertó sobre la violación el 22 de junio y le pidió que «investigara una revelación de vulnerabilidad sospechosa» a través de un comunicación fuera de la plataforma de un individuo con el identificador «rzlr» utilizando un lenguaje «agresivo» e «intimidante».
Posteriormente, el análisis de los datos de registro internos utilizados para monitorear el acceso de los empleados a las revelaciones de los clientes rastreó la exposición a un infiltrado deshonesto, cuyo objetivo, señaló, era volver a enviar informes de vulnerabilidad duplicados a los mismos clientes que usaban la plataforma para recibir pagos monetarios.
«El actor de amenazas creó una cuenta sockpuppet de HackerOne y recibió recompensas en un puñado de divulgaciones», detalló HackerOne en un informe de incidente post-mortem, y agregó que siete de sus clientes recibieron comunicación directa del actor de amenazas.
«Siguiendo el rastro del dinero, recibimos la confirmación de que la recompensa del actor de amenazas estaba vinculada a una cuenta que beneficiaba financieramente a un empleado de HackerOne en ese momento. El análisis del tráfico de red del actor de amenazas proporcionó evidencia complementaria que conectaba las cuentas principal y sockpuppet del actor de amenazas».
HackerOne dijo además que notificó individualmente a los clientes sobre los informes de errores exactos a los que accedió la parte malintencionada junto con el momento del acceso, al tiempo que enfatizó que no encontró evidencia de que los datos de vulnerabilidad hayan sido mal utilizados u otra información del cliente accedida.
Además de eso, la compañía señaló que tiene como objetivo implementar mecanismos de registro adicionales para mejorar la respuesta a incidentes, aislar datos para reducir el «radio de explosión» y mejorar los procesos para identificar accesos anómalos y detectar amenazas internas de manera proactiva.