Hata ödül platformu HackerOne’ın bir çalışanı, kullanıcı tarafından gönderilen raporları çalıyor ve bilgileri bazen finansal ödül karşılığında etkilenen satıcılara ifşa ediyor.
İçinde Blog yazısı (yeni sekmede açılır)şirket, yaklaşık üç ay boyunca meydana gelen olayın ayrıntılarını açıkladı ve çalışanın o zamandan beri kovulduğunu doğruladı.
HackerOne hala ceza davası açıp açmamayı düşünüyor, BleeBilgisayar bildirildi.
Kaşları kaldıran aynı raporlar
Nisan ayının başlarında HackerOne, pozisyonu nedeniyle hata raporlarına erişimi olan yeni bir çalışan getirdi. Bu raporlar, siber suçlular tarafından parolaları ve diğer hassas bilgileri çalmak, kötü amaçlı yazılım dağıtmak ve daha fazlası için kullanılabilecek çeşitli yazılım ve hizmetlerdeki güvenlik açıklarını vurgular.
HackerOne, en başından itibaren, kişinin rapor toplamaya başladığını ve sahte bir ad altında, etkilenen işletmelere, genellikle tehditkar ve göz korkutucu bir tonda ulaşmaya başladığını söyledi.
Çalışan daha sonra güvenlik açığının ifşası karşılığında ödeme talep eder ve hatta bazı durumlarda istediğini elde eder.
Etkilenen müşterilerinden biri, başka bir kişinin aynı kusuru “keşfettiğini” söylemek için ulaştığında, HackerOne potansiyel dolandırıcılık konusunda uyarıldı. Şirket, böcek avında yinelenen keşifler nadir olmasa da, bu özel örneğin şüphe uyandıracak kadar aynıydı, dedi şirket.
HackerOne, ödeme sağlayıcılarla birlikte parayı takip edebildi ve kısa süre sonra planın arkasında kendi çalışanlarından birinin olduğunu keşfetti.
Kısa bir süre sonra, çalışanın sisteme erişimini yasakladı ve soruşturmayı beklemek üzere dizüstü bilgisayarını uzaktan kilitledi. Soruşturma, kişinin eriştiği tüm hata raporlarını göstererek, şirketin hem hataları keşfeden bilgisayar korsanlarına hem de etkilenen şirketlere ulaşmasını istedi.
Şirket ayrıca, kişinin eriştiği tüm hata raporlarının kötüye kullanılmadığını söyledi. Bazı durumlarda, erişim meşru amaçlar içindi.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)