Koordinasi kerentanan dan platform bug bounty HackerOne pada hari Jumat mengungkapkan bahwa seorang mantan karyawan di perusahaan tersebut mengakses laporan keamanan yang dikirimkan kepadanya secara tidak benar untuk keuntungan pribadi.
“Orang tersebut secara anonim mengungkapkan informasi kerentanan ini di luar platform HackerOne dengan tujuan mengklaim hadiah tambahan,” katanya. “Dalam waktu kurang dari 24 jam, kami bekerja cepat untuk mengatasi insiden tersebut dengan mengidentifikasi karyawan saat itu dan memutus akses ke data.”
Karyawan tersebut, yang memiliki akses ke sistem HackerOne antara 4 April dan 23 Juni 2022, karena melakukan triase pengungkapan kerentanan yang terkait dengan program pelanggan yang berbeda, telah dihentikan oleh perusahaan yang bermarkas di San Francisco pada 30 Juni.
Menyebut insiden itu sebagai “pelanggaran yang jelas” terhadap nilai, budaya, kebijakan, dan kontrak kerjanya, HackerOne mengatakan telah diberitahu tentang pelanggaran pada 22 Juni oleh pelanggan yang tidak disebutkan namanya, yang memintanya untuk “menyelidiki pengungkapan kerentanan yang mencurigakan” melalui komunikasi off-platform dari seorang individu dengan pegangan “rzlr” menggunakan bahasa “agresif” dan “mengintimidasi”.
Selanjutnya, analisis data log internal yang digunakan untuk memantau akses karyawan ke pengungkapan pelanggan melacak eksposur ke orang dalam yang nakal, yang tujuannya, dicatat, adalah untuk mengirimkan kembali laporan kerentanan duplikat ke pelanggan yang sama menggunakan platform untuk menerima pembayaran moneter.
“Aktor ancaman membuat akun sockpuppet HackerOne dan telah menerima hadiah dalam beberapa pengungkapan,” HackerOne merinci dalam laporan insiden post-mortem, menambahkan tujuh pelanggannya menerima komunikasi langsung dari aktor ancaman.
“Mengikuti jejak uang, kami menerima konfirmasi bahwa hadiah aktor ancaman terkait dengan akun yang secara finansial menguntungkan karyawan HackerOne saat itu. Analisis lalu lintas jaringan aktor ancaman memberikan bukti tambahan yang menghubungkan akun utama aktor ancaman dan akun sockpuppet.”
HackerOne lebih lanjut mengatakan telah memberi tahu pelanggan secara individual tentang laporan bug yang tepat yang diakses oleh pihak jahat bersama dengan waktu akses, sambil menekankan tidak menemukan bukti data kerentanan telah disalahgunakan atau informasi pelanggan lainnya diakses.
Selain itu, perusahaan mencatat bahwa itu bertujuan untuk menerapkan mekanisme logging tambahan untuk meningkatkan respons insiden, mengisolasi data untuk mengurangi “radius ledakan,” dan meningkatkan proses yang ada untuk mengidentifikasi akses anomali dan secara proaktif mendeteksi ancaman orang dalam.
#Karyawan #HackerOne #Tertangkap #Mencuri #Laporan #Kerentanan #untuk #Keuntungan #Pribadi
