fingerprint-979598_1280.jpg

Ex-funcionário da HackerOne chantageou sete clientes

Da Redação
03/07/2022

A plataforma de bug bounty HackerOne revelou na última sexta-feira dia 1 de Juho de 2022 ter descoberto que um descobrimos um funcionário – agora já demitido – havia acessado indevidamente os relatórios de segurança da pataforma para ganho pessoal. A HackerOne é uma plataforma de recompensas de bugs que conecta pesquisadores de negócios e segurança. A HackerOne é uma das primeiras empresas a usar hackers como parte de seu modelo de negócios.

No comunicado, Chris Evans (CISO) e Alex Rice (Fundador e CTO) informaram publicamente que “a pessoa divulgou anonimamente essas informações de vulnerabilidade fora da plataforma HackerOne com o objetivo de reivindicar recompensas adicionais. Esta é uma clara violação de nossos valores, nossa cultura, nossas políticas e nossos contratos de trabalho. Em menos de 24 horas, trabalhamos rapidamente para conter o incidente, identificando o então funcionário e cortando o acesso aos dados. Desde então, demitimos o funcionário e reforçamos ainda mais nossas defesas para evitar situações semelhantes no futuro. Sujeito à nossa revisão com o advogado, também decidiremos se o encaminhamento criminal deste assunto é apropriado”.

Veja isso
Saiu a lista OWASP Top 10 de 2021. Confira com atenção
HackerOne alcança 2 mil clientes e cresce 70% na Europa

Foram identificados sete clientes com os quais houve contato: “Notificamos cada um dos clientes sobre nossa investigação e solicitamos informações relacionadas às suas interações”. A investigação, diz o comunicado, começou depois que um cliente “nos notificou de ter recebido uma comunicação ameaçadora, fora da plataforma HackerOne, sobre uma divulgação de vulnerabilidade. Imediatamente iniciamos uma investigação. Dentro de 30 minutos da investigação, surgiram evidências adicionais que nos levaram a aumentar a prioridade do incidente. Começamos a analisar todos os cenários de uma possível exposição a dados de divulgação, incluindo potencial exploração de nosso aplicativo, comprometimento remoto do hacker, cliente ou analista, vazamento por configuração incorreta e outros. Havia informações para apoiar apenas uma de nossas hipóteses, um ator de ameaças internas”.

24 horas após a denúncia do cliente, “tomamos medidas para encerrar o acesso ao sistema desse funcionário e bloqueamos remotamente seu laptop enquanto aguardamos uma investigação mais aprofundada”.

O relatório completo está em “https://hackerone.com/reports/1622449”

Compartilhar: