知名漏洞眾測(cè)平臺(tái)Rogue HackerOne的一名員工，竟然利用工作職務(wù)之便，竊取通過(guò)漏洞賞金平臺(tái)提交的漏洞報(bào)告，出售給那些受影響的用戶，以此索取現(xiàn)金獎(jiǎng)勵(lì)。據(jù)HackerOne表示，這名員工聯(lián)系了7名HackerOne 客戶，并在少數(shù)披露中獲取了賞金。

眾所周知，HackerOne是一個(gè)漏洞眾測(cè)平臺(tái)，用于協(xié)調(diào)漏洞披露，并為提交安全報(bào)告的白帽黑客提供獎(jiǎng)勵(lì)。目前，HackerOne已為多家世界知名技術(shù)公司提供服務(wù)。

事件詳細(xì)經(jīng)過(guò)?

6月22日，HackerOne正式回應(yīng)用戶的請(qǐng)求，調(diào)查一個(gè)使用“rzlr”昵稱的人，通過(guò)平臺(tái)之外的通信渠道泄露可疑漏洞。有用戶注意到，此前已經(jīng)通過(guò) HackerOne 提交了相同的安全問(wèn)題。

多位安全研究人員發(fā)現(xiàn)并報(bào)告相同的安全問(wèn)題其實(shí)很常見(jiàn)，在這樣的情況下，真實(shí)報(bào)告和來(lái)自攻擊者的報(bào)告存在明顯相似之處，因此需要平臺(tái)仔細(xì)觀察。

經(jīng)過(guò)調(diào)查，HackerOne平臺(tái)確定，有一名員工自 4 月 4 日加入公司以來(lái)，至6月23日已經(jīng)訪問(wèn)該平臺(tái)兩個(gè)多月，并聯(lián)系了七家公司報(bào)告通過(guò)平臺(tái)披露的漏洞。

HackerOne公司表示，這名員工為他們提交的一些報(bào)告獲得了報(bào)酬。這使得HackerOne能跟蹤錢的去向并確定肇事者是其為“眾多客戶項(xiàng)目”分流漏洞披露的工作人員之一。

HackerOne在報(bào)告內(nèi)寫到，這名員工創(chuàng)建了一個(gè) HackerOne sockpuppet 帳戶，并在少數(shù)披露中獲得了賞金。在確定這些賞金可能不正當(dāng)后，HackerOne 聯(lián)系了相關(guān)的支付提供商，他們與我們合作提供了更多信息。

分析該威脅者的網(wǎng)絡(luò)流量發(fā)現(xiàn)了更多的證據(jù)，從而將他們?cè)贖ackerOne上的主要賬戶和傀儡賬戶聯(lián)系起來(lái)。

在開(kāi)始調(diào)查后不到24小時(shí)，HackerOne 確定了這名員工的行為，終止了他們的系統(tǒng)訪問(wèn)，并在調(diào)查期間遠(yuǎn)程鎖定了他們的筆記本電腦。

在接下來(lái)的幾天里，HackerOne對(duì)嫌疑人的電腦進(jìn)行了遠(yuǎn)程取證成像和分析并完成了對(duì)該員工在工作期間的數(shù)據(jù)訪問(wèn)日志的審查，以此確定了該威脅行為人與之互動(dòng)的所有漏洞賞金項(xiàng)目。

6月30日，HackerOne開(kāi)除了這名員工，并在律師的建議下，將該名員工移交給相關(guān)部門，并對(duì)其日志和設(shè)備進(jìn)行取證分析。

HackerOne 指出，其前員工在與客戶的互動(dòng)中使用了“威脅”和“恐嚇”語(yǔ)言，并敦促客戶在收到以攻擊性語(yǔ)氣披露的信息時(shí)與公司聯(lián)系。

該公司表示，“在絕大多數(shù)情況下”，它沒(méi)有證據(jù)表明漏洞數(shù)據(jù)被濫用。但是，該員工出于惡意或合法目的訪問(wèn)了報(bào)告的客戶，已被單獨(dú)告知每個(gè)漏洞披露的訪問(wèn)日期和時(shí)間。