Сотрудник известной bug bounty платформы HackerOne украл отправленные её клиентами отчёты об уязвимостях и пытался получить денежное вознаграждение за них.
22 июня HackerOne ответила на запрос клиента о расследовании раскрытия подозрительной уязвимости через канал связи вне платформы от пользователя под ником rzlr. Клиент заметил, что такая же проблема безопасности ранее была отправлена через HackerOne.
Внутреннее расследование установило, что один из специалистов имел доступ к платформе в период с 4 апреля по 23 июня, и связался с семью компаниями, чтобы сообщить о выявленных уязвимостях. Он даже успел несколько раз получить вознаграждение.
Руководству HackerOne пришлось признать инцидент. «Внутренние угрозы — одни из самых коварных в кибербезопасности, и мы готовы сделать всё, что в наших силах, чтобы уменьшить вероятность подобных инцидентов в будущем», — сообщили в компании.
