Medewerker HackerOne stal bugmeldingen om extraatje te verdienen

Close-up van een zakenman die werkt op zijn laptop

Een medewerker van het bugbountyprogramma HackerOne ging aan de haal met meldingen over kwetsbaarheden. Met deze meldingen klopte hij aan bij bedrijven om losgeld af te dwingen. Een aantal bedrijven heeft de medewerker daadwerkelijk betaald voor het doorgeven van de kwetsbaarheden. De persoon in kwestie is ontslagen.

Dat meldt HackerOne in een incidentrapport. Het platform overweegt juridische stappen te ondernemen tegen de voormalige werknemer.

Zo ging de dader te werk

In juni benaderde een klant HackerOne om een verdachte kwetsbaarheid te onderzoeken die buiten het platform om was gemeld. Het bedrijf in kwestie vertrouwde de melding niet, omdat een vergelijkbare kwestie eerder via het bugbountyplatform was ingediend. Bug collisions en duplicaties zien we in praktijk wel vaker als meerdere beveiligingsexperts onafhankelijk van elkaar kwetsbaarheden ontdekken.

Het beveiligingsteam van HackerOne nam de melding serieus en startte een onderzoek. De onderzoekers ontdekten dat een medewerker van HackerOne zichzelf toegang had verschaft tot beveiligingsrapporten. Deze informatie misbruikte hij door buiten het bugbountyprogramma om het bedrijf in kwestie te benaderen en geld te verdienen.

De dader kwam hiermee weg omdat hij een zogeheten sockpuppet account had gecreëerd: een nepaccount met een valse identiteit die het echte profiel wordt gebruikt. Via dit profiel benaderde hij bedrijven. Bij “een handjevol meldingen” wist de werknemer daadwerkelijk geld te verdienen. Uiteindelijk liep de dader tegen de lamp doordat hij een bankrekeningnummer gebruikte dat gelinkt kon worden aan dat van een medewerker van HackerOne.

HackerOne neemt maatregelen om herhaling te voorkomen

“Dit is een duidelijke schending van onze waarden, onze cultuur, ons beleid en onze arbeidscontracten”, zo schrijft HackerOne in het incidentrapport. Binnen 24 uur wist het platform de medewerker te identificeren en zijn toegang tot de beveiligingsrapporten af te sluiten. De voormalige werknemer, die communiceerde met zijn pseudoniem ‘rzlr’, had van 4 april tot en met 23 juni toegang tot de systemen waar de kwetsbaarheden worden bijgehouden.

HackerOne zegt de persoon in kwestie op staande voet te hebben ontslagen en overweegt de medewerker strafrechtelijk te vervolgen. Tevens heeft het bugbountyplatform maatregelen genomen om herhaling in de toekomst te voorkomen. Zo gaat het HackerOne nog meer investeren in het verbeteren van het loggingbeleid en worden sollicitanten nog beter gescreend alvorens ze worden aangenomen.

Slachtoffers die een e-mail van de ontslagen medewerker hebben ontvangen, krijgen het advies om de melding van de kwetsbaarheid serieus te nemen. Ze hoeven niet direct in actie te komen. Uiteraard moeten ze geen geld overmaken naar de persoon die hen probeerde op te lichten.

Dit moet je weten over HackerOne

HackerOne is een platform waar ethische hackers exploits en kwetsbaarheden kunnen melden. Afhankelijk van het risico krijgen zij via het bugbountyprogramma van het platform een vergoeding voor hun ontdekking.

Internationale bedrijven als PayPal en Facebook zijn aangesloten bij HackerOne.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen