Güvenlik açığı koordinasyonu ve hata ödül platformu HackerOne Cuma günü, firmadaki eski bir çalışanın kişisel kazanç için kendisine gönderilen güvenlik raporlarına uygunsuz şekilde eriştiğini açıkladı.
“Kişi, ek ödüller talep etmek amacıyla bu güvenlik açığı bilgilerini HackerOne platformunun dışında isimsiz olarak ifşa etti” söz konusu. “24 saatten kısa bir sürede, o zamanki çalışanı belirleyerek ve verilere erişimi keserek olayı kontrol altına almak için hızlı bir şekilde çalıştık.”
4 Nisan ve 23 Haziran 2022 tarihleri arasında farklı müşteri programlarıyla ilişkili güvenlik açığı açıklamalarını tetiklemek için HackerOne sistemlerine erişimi olan çalışan, 30 Haziran itibariyle San Francisco merkezli şirket tarafından feshedildi.
Olayı değerlerinin, kültürünün, politikalarının ve iş sözleşmelerinin “açık bir ihlali” olarak nitelendiren HackerOne, 22 Haziran’da adı açıklanmayan bir müşteri tarafından ihlal konusunda uyarıldığını ve kendisinden “şüpheli bir güvenlik açığı ifşasını araştırmasını” istediğini söyledi. “agresif” ve “korkutucu” bir dil kullanarak “rzlr” tanıtıcısı olan bir kişiden platform dışı iletişim.
Daha sonra, çalışanların müşteri ifşaatlarına erişimini izlemek için kullanılan dahili günlük verilerinin analizi, amacının, parasal ödemeler almak için platformu kullanan aynı müşterilere mükerrer güvenlik açığı raporlarını yeniden göndermek olduğunu kaydetti.
HackerOne ölüm sonrası bir olay raporunda, “Tehdit aktörü bir HackerOne kukla hesabı oluşturdu ve bir avuç ifşaatta ödül aldı,” diyerek yedi müşterisinin tehdit aktöründen doğrudan iletişim aldığını ekledi.
“Para izinin ardından, tehdit aktörünün ödülünün, o zamanki HackerOne çalışanına finansal olarak fayda sağlayan bir hesapla bağlantılı olduğuna dair bir onay aldık. Tehdit aktörünün ağ trafiğinin analizi, tehdit aktörünün birincil ve kukla hesaplarını birbirine bağlayan ek kanıtlar sağladı.”
HackerOne ayrıca, kötü niyetli taraf tarafından erişilen tam hata raporları ve erişim süresi hakkında müşterilere bireysel olarak bildirildiğini, ancak güvenlik açığı verilerinin kötüye kullanıldığına veya diğer müşteri bilgilerine erişildiğine dair hiçbir kanıt bulunmadığını vurguladı.
Bunun üzerine şirket, olay yanıtını iyileştirmek için ek kayıt mekanizmaları uygulamayı, “patlama yarıçapını” azaltmak için verileri izole etmeyi ve anormal erişimi belirlemek ve içeriden gelen tehditleri proaktif olarak tespit etmek için süreçleri geliştirmeyi hedeflediğini belirtti.