Un employé de la plate-forme de primes aux bogues HackerOne a volé des rapports soumis par des utilisateurs et a divulgué les informations aux fournisseurs concernés, parfois contre une récompense financière.
Dans un article de blog (s'ouvre dans un nouvel onglet), l'entreprise a divulgué les détails de l'incident, qui s'est déroulé sur environ trois mois, et a confirmé que l'employé avait depuis été licencié.
HackerOne envisage toujours de poursuivre ou non des poursuites pénales, a rapporté BleepingComputer.
Des rapports identiques qui font sourciller
Début avril, HackerOne a embauché un nouvel employé qui, en raison de son poste, avait accès aux rapports de bugs. Ces rapports mettent en évidence les vulnérabilités de divers logiciels et services qui pourraient être exploités par des cybercriminels pour voler des mots de passe et d'autres informations sensibles, distribuer des logiciels malveillants, etc.
Au début, l'individu a commencé à collecter des rapports et, sous un faux nom, à communiquer avec les entreprises impliquées, souvent sur un ton menaçant et intimidant, a déclaré HackerOne.
L'employé exigerait alors un paiement en échange de la divulgation de la vulnérabilité et, dans certains cas, obtiendrait même ce qu'il voulait.
HackerOne a été alerté d'une éventuelle fraude lorsqu'un de ses clients concernés a pris contact pour dire que quelqu'un d'autre avait "découvert" une faille identique. Bien que les résultats de la chasse aux bogues en double ne soient pas rares, ce cas particulier était si identique qu'il a suscité des soupçons, a déclaré la société.
En travaillant avec des fournisseurs de paiement, HackerOne a pu retracer l'argent et a rapidement découvert que l'un de ses propres employés était derrière le stratagème.
Peu de temps après, il a interdit à l'employé d'accéder au système et a verrouillé à distance son ordinateur portable, dans l'attente d'une enquête. L'enquête a révélé les rapports de bogues auxquels la personne avait accédé, incitant l'entreprise à contacter à la fois les pirates qui ont découvert les bogues et les entreprises concernées.
La société a également déclaré que les rapports de bogues consultés par la personne n'avaient pas été abusés. Dans certains cas, l'accès était à des fins légitimes.
Via : BleepingComputer (Ouvre dans un nouvel onglet)