偷竊他人漏洞報告變賣成副業,漏洞賞金平臺出「內鬼」

整理 | 於軒

出品 | 程序人生(ID:coder_life)

在如今高度發達的網路大資料時代,各個公司的發展都依賴著網際網路的加持。但同時,各種各樣的安全漏洞、非法破解等問題層出不窮,再完美的系統也會存在容易被攻擊的Bug。

在這樣的背景下,公司與其讓駭客發現並攻擊其難以發現的安全漏洞,倒不如花錢請「白帽駭客」先披露,然後儘快做出修補。

本文提到的HackerOne就是全球知名的「白帽駭客」聚集地,它是一個用於協調漏洞披露,併為提交安全報告的漏洞獵手提供貨幣獎勵的中介平臺。

圖源:CSDN付費下載自東方 IC

圖源:CSDN付費下載自東方 IC

但在近日,HackerOne被曝出其一內部員工竊取了其他人通過該漏洞賞金平臺提交的漏洞報告,並將相關報告披露給受影響的客戶以索取經濟獎勵。

罪魁禍首被鎖定

6月22日,HackerOne接到了一個客戶的請求,讓他們調查一個使用 “rzlr “賬號的人通過非平臺通訊渠道披露的可疑漏洞。該客戶注意到,同樣的安全問題之前已經通過HackerOne提交過。

一般來說,漏洞碰撞,即多個研究人員發現並報告相同的安全問題,這種情況經常會發生。在這種情況下,真正的報告和來自威脅行為者的報告有明顯的相似之處,這就促使人們要仔細觀察。

HackerOne經過調查確定,其一名員工自4月4日加入公司至6月23日,已經訪問該平臺系統兩個多月,並聯繫了七家公司來報告已經通過其系統披露的漏洞。

偷竊漏洞報告變賣成副業

該公司表示,這名流氓員工從其提交的一些報告中獲得賞金。這使得HackerOne能夠跟蹤錢的去向,並確定肇事者是其為「眾多客戶項目」 分流漏洞披露的工作人員之一。

「威脅行為者創建了一個HackerOne傀儡賬戶,並在少數披露裡獲得了賞金。在確定這些賞金可能不正當後,公司聯繫了相關的支付供應商,他們與我們合作提供了更多的資訊。」——HackerOne

在分析了該威脅行為者的網路流量後,HackerOne發現了更多的證據來將他們在平臺上的主要賬戶和傀儡賬戶聯繫起來。最終在開始調查後不到24小時的時間,HackerOne確定了那名威脅行為者,並終止了他的系統訪問許可權、遠端鎖定了他的膝上型電腦。

在接下來的幾天裡,HackerOne對嫌疑人的電腦進行了遠端取證成像和分析,並審查了對該員工在工作期間的資料訪問日誌,以確定該威脅行為者互動過的所有漏洞賞金項目。

6月30日,HackerOne解僱了這名威脅行為者:

「根據與律師的審查,我們將決定對此事進行刑事移交是否合適。我們繼續對前員工產生的日誌和使用的設備進行取證分析。」—— HackerOne

HackerOne指出,其前員工在與客戶的互動中使用了「威脅性」 和 「恐嚇性」語言,並敦促客戶在收到以攻擊性語氣做出的披露時與該公司聯繫。

HackerOne表示,「在絕大多數情況下」,它沒有證據表明漏洞資料被濫用。然而,那些被內部威脅行為者訪問的報告,無論是出於惡意還是合法的目的,都已經被單獨告知每個漏洞披露的訪問日期和時間。

HackerOne還發郵件通知了平臺上提交內容已被流氓員工訪問過的駭客:

來源:@H4x0r-DZTwitter

來源:@H4x0r-DZTwitter

郵件告知相關駭客們該事件,幷包括威脅行為者合法訪問的報告清單,作為其工作的一部分,或意圖濫用所提交的漏洞報告。此外,這位前員工提交的所有報告都被標記為重複,並不會對合法安全人員的支付產生影響。

HackerOne在事件報告中總結到:「總而言之,這是一個嚴重的事件。我們相信內部人員的訪問現在已經得到控制。內部威脅是網路安全中最陰險的威脅之一,我們隨時準備盡一切努力來減少未來發生此類事件的可能性。」

參考連結:

  • https://hackerone.com/reports/1622449

  • https://www.bleepingcomputer.com/news/security/rogue-hackerone-employee-steals-bug-reports-to-sell-on-the-side/

  • https://www.pcmag.com/news/a-hackerone-employee-stole-vulnerability-reports-from-security-researchers

相關文章