HackerOne, ürünlerindeki diğer araştırmacılar tarafından bulunan ve koordineli güvenlik açığı açıklama programı aracılığıyla özel olarak HackerOne’a ifşa edilen hatalar hakkında onları uyardıktan sonra müşterilerinden hata ödüllerini topladığı için çalışanlarından birini işten çıkardı.
HackerOne, müşterilerinden biri kuruluştan Haziran ayında HackerOne platformunun dışında yapılan bir güvenlik açığı açıklamasını araştırmasını istediğinde kapariyi keşfetti. Müşteri, hata ödül programlarının diğer müşterileri gibi, ürünlerindeki bağımsız güvenlik araştırmacılarının keşfettiği güvenlik açıklarını toplamak ve bildirmek için HackerOne’ı kullanır. Karşılığında şirket, bildirilen güvenlik açıkları için bir ödül veya hata ödülü öder.
Bu örnekte HackerOne müşterisi, anonim bir kişinin kendi teknolojisindeki bir araştırmacının daha önce HackerOne platformu aracılığıyla gönderdiği başka bir hataya çok benzeyen bir güvenlik açığı hakkında kendisiyle iletişime geçtiğini söyledi.
İki veya daha fazla araştırmacının bağımsız olarak aynı güvenlik açığını ortaya çıkarabileceği hata çarpışmaları nadir değildir. HackerOne, “Ancak, bu müşteri, bunun gerçek bir çarpışma olduğuna dair şüphelerini dile getirdi ve ayrıntılı bir akıl yürütme sağladı,” dedi. olayı özetleyen rapor. HackerOne, müşterinin “rzlr” tanıtıcısını kullanan kişiyi, güvenlik açığıyla ilgili bilgileri iletmek için korkutucu bir dil kullandığını söyledi.
Kötü Amaçlı İçeriden
Şirketin 22 Haziran 2022 tarihli ipucu soruşturması, hemen hemen aynı şekilde iletişim kurulabilecek birden fazla müşteriye işaret etti. HackerOne araştırmacıları, birinin güvenlik açığı ifşa verilerine erişim kazanmış olabileceği her senaryoyu araştırmaya başladı: birinin sistemlerinden birinin güvenliğini ihlal edip etmediği, uzaktan erişim elde edip etmediği veya ifşanın bir yanlış yapılandırmadan kaynaklanıp kaynaklanmadığı. Veriler, tehdit aktörünün güvenlik açığı verilerine erişimi olan içeriden biri olduğuna hızlı bir şekilde işaret etti.
HackerOne’ın araştırmacıları daha sonra çalışanların güvenlik açığı açıklamalarına erişimiyle ilgili günlük verilerine baktı ve müşterilerin şüpheli olarak bildirdiği açıklamaların her birine yalnızca bir çalışanın eriştiğini buldu. HackerOne, “Müşterimizden gelen ipucundan sonraki 24 saat içinde, bu çalışanın sistem erişimini sonlandırmak için adımlar attık ve daha fazla araştırma için dizüstü bilgisayarlarını uzaktan kilitledik” dedi.
Şirket, eski çalışanın hayali bir HackerOne hesabı oluşturduğunu ve bir avuç açıklama için ödül topladığını tespit etti. HackerOne, ödüllerin şimdi eski çalışanla bağlantılı bir banka hesabına ödendiğini doğrulamak için her durumda ilgili ödeme sağlayıcılarıyla çalıştı. Araştırmacılar, kişinin ağ trafiğini analiz ederek, hayali hesabı eski çalışanın birincil HackerOne hesabına da bağlayabildiler.
Güveni sarsmak
Vulcan Cyber’de kıdemli teknik mühendis olan Mike Parkin, bunun gibi olayların, HackerOne’ın yönettiği gibi kitle kaynaklı güvenlik açığı açıklama programlarının başarısının anahtarı olan güveni baltalayabileceğini söylüyor. Parkin, “Güven, güvenlik açığı araştırmalarında büyük bir faktördür ve birçok hata ödül programında büyük rol oynayabilir” diyor. “Yani, birisi başka bir araştırmacının çalışmasını etkili bir şekilde çaldığında ve onu kendisininmiş gibi sunduğunda, bu temel güven gerilebilir.”
Parkin, HackerOne’ı şeffaf olduğu ve durumu çözmek için hızlı davrandığı için övdü. “Umarım bu olay, güvenlik açığı araştırma ekosistemini genel olarak etkilemez, ancak ileriye dönük hata ödül başvurularının daha derin incelemelerine yol açabilir” diyor.
HackerOne, 4 Nisan’da işe başlayan eski çalışanın toplam yedi müşterisiyle doğrudan iletişim kurduğunu söyledi. Özellikle iletişim agresif veya tehditkar bir tonda olsaydı, rzlr tanıtıcısını kullanan bir kişi tarafından temasa geçilmiş olabilecek diğer müşterileri şirketle hemen iletişime geçmeye çağırdı.
Şirket ayrıca, platforma kaydolan bilgisayar korsanlarına, güvenlik açığı açıklamaları için alabilecekleri herhangi bir ödüle uygunluklarının olumsuz etkilenmediğine dair güvence verdi. “Tehdit aktöründen yapılan tüm açıklamalar kopya olarak kabul edildi. Bu gönderilere uygulanan ödüller, orijinal gönderileri etkilemedi.”
HackerOne, eski çalışanının raporlarına erişip yeniden göndermeye çalışabileceği bilgisayar korsanlarıyla iletişime geçeceğini söyledi. Şirket, “HackerOne’ın kuruluşundan bu yana, güvenlik olaylarını ifşa etme konusundaki kararlı taahhüdümüzü yerine getirdik çünkü güvenlik bilgilerini paylaşmanın daha güvenli bir İnternet oluşturmak için gerekli olduğuna inanıyoruz” dedi.
Olayın ardından HackerOne, kontrolleri güçlendirmeyi planladığı birkaç alan belirledi. Bunlar arasında, günlüğe kaydetme yeteneklerindeki iyileştirmeler, içeriden gelen tehditleri izlemek için çalışanların eklenmesi, işe alım sürecinde çalışan tarama uygulamalarının iyileştirilmesi ve bu tür olaylardan kaynaklanan hasarı sınırlamak için verilerin yalıtılmasına yönelik kontroller yer alıyor.
Synopsys Siber Güvenlik Araştırma Merkezi’nde küresel araştırma başkanı Jonathan Knudsen, HackerOne’ın olay hakkında net bir şekilde iletişim kurma kararının ve buna verdiği yanıtın, kuruluşların hasarı nasıl sınırlayabileceğinin bir örneği olduğunu söylüyor. “Güvenlik olayları genellikle utanç verici ve telafi edilemez olarak görülüyor” diyor.
Ancak olanlar hakkında tamamen şeffaf olmak, güvenilirliği artırabilir ve müşterilerden saygı görebilir. Knudsen, “HackerOne içeriden bir tehdit olayını ele aldı ve müşterilere güvenliği çok ciddiye aldıklarına, hızlı ve etkili bir şekilde yanıt verebildiklerine ve süreçlerini sürekli olarak inceleyip iyileştirdiklerine dair güvence verecek şekilde yanıt verdi” diyor.