HackerOne员工出售漏洞报告牟利

知名漏洞众测平台Rogue HackerOne的工出告牟一名员工，竟然利用工作职务之便 ，售漏窃取通过漏洞赏金平台提交的洞报漏洞报告，出售给那些受影响的工出告牟用户，以此索取现金奖励。售漏据HackerOne表示 ，洞报这名员工联系了7名HackerOne 客户 ，工出告牟并在少数披露中获取了赏金。售漏

众所周知，洞报HackerOne是工出告牟一个漏洞众测平台，用于协调漏洞披露，售漏并为提交安全报告的洞报白帽黑客提供奖励。云计算目前，工出告牟HackerOne已为多家世界知名技术公司提供服务。售漏

事件详细经过

6月22日 ，洞报HackerOne正式回应用户的请求
，调查一个使用“rzlr”昵称的人 ，通过平台之外的通信渠道泄露可疑漏洞。有用户注意到，此前已经通过 HackerOne 提交了相同的安全问题  。

多位安全研究人员发现并报告相同的安全问题其实很常见，在这样的情况下 ，免费模板真实报告和来自攻击者的报告存在明显相似之处 ，因此需要平台仔细观察
。

经过调查，HackerOne平台确定，有一名员工自 4 月 4 日加入公司以来 ，至6月23日已经访问该平台两个多月 ，并联系了七家公司报告通过平台披露的漏洞 。

HackerOne公司表示，这名员工为他们提交的一些报告获得了报酬。这使得HackerOne能跟踪钱的去向并确定肇事者是其为“众多客户项目”分流漏洞披露的工作人员之一。服务器租用

HackerOne在报告内写到，这名员工创建了一个 HackerOne sockpuppet 帐户，并在少数披露中获得了赏金 。在确定这些赏金可能不正当后 ，HackerOne 联系了相关的支付提供商 ，他们与我们合作提供了更多信息。

分析该威胁者的网络流量发现了更多的证据，从而将他们在HackerOne上的主要账户和傀儡账户联系起来
 。

在开始调查后不到24小时，HackerOne 确定了这名员工的行为 ，终止了他们的高防服务器系统访问
 ，并在调查期间远程锁定了他们的笔记本电脑 。

在接下来的几天里 ，HackerOne对嫌疑人的电脑进行了远程取证成像和分析并完成了对该员工在工作期间的数据访问日志的审查，以此确定了该威胁行为人与之互动的所有漏洞赏金项目
。

6月30日 ，HackerOne开除了这名员工，并在律师的建议下 ，将该名员工移交给相关部门 ，源码下载并对其日志和设备进行取证分析 。

HackerOne 指出 ，其前员工在与客户的互动中使用了“威胁”和“恐吓”语言，并敦促客户在收到以攻击性语气披露的信息时与公司联系。

该公司表示，“在绝大多数情况下” ，它没有证据表明漏洞数据被滥用。但是 ，该员工出于恶意或合法目的访问了报告的客户
，已被单独告知每个漏洞披露的访问日期和时间 。亿华云

很赞哦!（92）