En büyük hata ödül platformu HackerOne, harici araştırmacılar tarafından gönderilen hata raporlarını çalan ve kişisel kazancı için diğer platformlara atan bir çalışanı işten çıkardığını söyledi.
HackerOne, büyük şirketlerin ve devlet dairelerinin hata ödül programlarını yönetmek için başvurduğu platformlardan biridir. HackerOne, güvenlik araştırmacılarından yazılım hata raporları alır ve bunları rapor edenlere ödül verilip verilmeyeceğini belirlemek için bunları dahili olarak önceliklendirir.
Tehlikede olan çok para var. 2020’de HackerOne, yönettiği ödüller aracılığıyla 181.000’den fazla güvenlik açığı bildiren katılımcılara 100 milyon doların üzerinde ödeme yaptı 2012’deki lansmanından bu yana. Geçen yıl, bir HackerOne müşterisi olan Zoom, HackerOne tarafından işletilen programlar aracılığıyla 1.4 milyon dolar bağışladı.
HackerOne’ın kurucu ortağı ve CISO’su Chris Evans, Cuma günü yayınlanan bir blog yazısında söyledi Görevi, çok sayıda hata ödül programı için hata raporlarını önceliklendirmek olan eski çalışanın, 4 Nisan ile 22 Haziran arasında güvenlik raporlarına uygunsuz bir şekilde eriştiğini söyledi. Daha sonra ek ödüller talep etmek için bilgileri HackerOne platformunun dışına sızdırdı.
Evans’a göre, çalışan “bir avuç ifşaatta” ikramiye aldı.
Böcek ve böceğin parası
Şirket, 22 Haziran’da “HackerOne platformunun dışında yapılan şüpheli bir güvenlik açığı raporunu” araştırmasını isteyen bir müşteri şikayeti aldıktan sonra olayı araştırdı. Raporun arkasındaki araştırmacı, “rzlr” adını kullanarak, güvenlik açığının ifşa edilmesi konusunda “tehdit edici bir iletişim” kullanmıştı.
Bay Evans, “Bu müşteri, bunun gerçek bir tesadüf olduğuna dair şüphelerini dile getirdi ve ayrıntılı bir akıl yürütme sağladı” dedi.
Evans’a göre, eski çalışan, ek ödüller talep etmek amacıyla bu güvenlik açığı bilgilerini HackerOne platformunun dışına anonim olarak sızdırdı.
“Araştırmamız, (şimdi eski) bir HackerOne çalışanının, kişisel kazanç için aynı müşterilere mükerrer güvenlik açıkları göndermek için müşteri güvenlik açığı verilerine uygunsuz bir şekilde eriştiği sonucuna vardı” dedi.
“Bu, değerlerimizin, kültürümüzün, politikalarımızın ve iş sözleşmelerimizin açık bir ihlalidir. 24 saatten daha kısa bir süre içinde, o zamanın çalışanını belirleyerek ve verilere erişimini keserek olayı kontrol altına almak için hızlı bir şekilde çalıştık. O zamandan beri sonlandırdık. çalışan ve gelecekte benzer durumları önlemek için savunmamızı güçlendirdi.”
HackerOne, 23 Haziran’da çalışanın sistemine erişimi kesti ve dizüstü bilgisayarını uzaktan kilitledi. Şirket, 24 Haziran’da çalışanla görüştü ve 27 Haziran’da “askıya alınan kötü niyetli aktörün dizüstü bilgisayarına sahipti ve uzaktan görüntüleme ve analiz gerçekleştirdi.”
4 Nisan’dan beri sisteme erişimi olan çalışan, yedi HackerOne müşterisi ile temas halindeydi.
HackerOne, çalışanı 30 Haziran’da resmen kovdu. 1 Temmuz’a kadar HackerOne, hata ödül programları çalışanla bağlantılı olan tüm müşterileri bilgilendirdi.
HackerOne yöntemlerini gözden geçiriyor
HackerOne, çeşitli açıklamaların tek bir çalışan tarafından yapıldığına inanıyor.
“Bu ciddi bir olay. İç erişimin şu anda kontrol altında olduğundan eminiz. İçeriden öğrenenlerin ticareti, siber güvenlikteki en sinsi tehditlerden biridir ve bu tür olayların olasılığını azaltmak için elimizden gelen her şeyi yapmaya hazırız. gelecek,” dedi Bay Evans.
Evans, HackerOne’ın mevcut tespit ve müdahale sistemlerinin bu tehdidi proaktif olarak tespit etmediğini kabul ediyor. Şirket, çalışan tarama sürecini güçlendirmeyi, veri izolasyonunu ve ağ günlük kaydını iyileştirmeyi ve içeriden gelen tehditleri tespit etme yeteneğini test etmek için yeni simülasyonlar uygulamayı planlıyor.
HackerBir Ocak ayında 49 milyon dolar fon topladıtoplam fonunu 160 milyon dolara çıkardı. Müşterileri arasında ABD Savunma Bakanlığı, Dropbox, General Motors, GitHub, Goldman Sachs, Google, Hyatt, Microsoft, Singapur Savunma Bakanlığı, Nintendo, PayPal, Slack, Starbucks, Twitter ve Yahoo yer alıyor.
Kaynak : “ZDNet.com”
