知名漏洞众测平台Rogue HackerOne的一名员工,竟然利用工作职务之便,窃取通过漏洞赏金平台提交的漏洞报告,出售给那些受影响的用户,以此索取现金奖励。据HackerOne表示,这名员工联系了7名HackerOne 客户,并在少数披露中获取了赏金。
众所周知,HackerOne是一个漏洞众测平台,用于协调漏洞披露,并为提交安全报告的白帽黑客提供奖励。目前,HackerOne已为多家世界知名技术公司提供服务。
事件详细经过
6月22日,HackerOne正式回应用户的请求,调查一个使用“rzlr”昵称的人,通过平台之外的通信渠道泄露可疑漏洞。有用户注意到,此前已经通过 HackerOne 提交了相同的安全问题。
多位安全研究人员发现并报告相同的安全问题其实很常见,在这样的情况下,真实报告和来自攻击者的报告存在明显相似之处,因此需要平台仔细观察。
经过调查,HackerONE平台确定,有一名员工自 4 月 4 日加入公司以来,至6月23日已经访问该平台两个多月,并联系了七家公司报告通过平台披露的漏洞。
HackerOne公司表示,这名员工为他们提交的一些报告获得了报酬。这使得HackerOne能跟踪钱的去向并确定肇事者是其为“众多客户项目”分流漏洞披露的工作人员之一。
HackerOne在报告内写到,这名员工创建了一个 HackerOne sockpuppet 帐户,并在少数披露中获得了赏金。在确定这些赏金可能不正当后,HackerOne 联系了相关的支付提供商,他们与我们合作提供了更多信息。
分析该威胁者的网络流量发现了更多的证据,从而将他们在HackerOne上的主要账户和傀儡账户联系起来。
在开始调查后不到24小时,HackerOne 确定了这名员工的行为,终止了他们的系统访问,并在调查期间远程锁定了他们的笔记本电脑。
在接下来的几天里,HackerOne对嫌疑人的电脑进行了远程取证成像和分析并完成了对该员工在工作期间的数据访问日志的审查,以此确定了该威胁行为人与之互动的所有漏洞赏金项目。
6月30日,HackerOne开除了这名员工,并在律师的建议下,将该名员工移交给相关部门,并对其日志和设备进行取证分析。
HackerOne 指出,其前员工在与客户的互动中使用了“威胁”和“恐吓”语言,并敦促客户在收到以攻击性语气披露的信息时与公司联系。
国庆晚上加班是否有双倍工资
相关文件精神,10月1日到3日,加班按照日工资的三倍支付。 10月4日到7日,按照日工资的两倍支付。 但是具体如何操作,这就要看各子公司得了,毕竟我国的有关规定漏洞很大!
PCBA目见检的工作职责是什么
PCBA目检的工作职责:看你检查那段,DIP的是检查过锡炉后的锡渣、连锡、吃锡不足、冷焊、空焊等。如若是PCBA加工厂的话就看是否断线、漏铜等
德力西插卡电表怎偷电费
如果偷电这个是不合法不道德的!!!某公司的网站有介绍这个电表的致命缺点,电卡为没加密的卡片,因为有这些漏洞 ,所以 物业公司的经理,财务人员都喜欢用 , 因为可以牟利!!!卡片可以记录局号,表号,上次购电量,购电次数,本次购电量,电表已用电量,剩余电量,如果,自行购买一套充值系统,然后找厂家的研发人员,制作专用的售电系统,进行使用,即可得到相同的数据,然后通过售电系统进行操作后,即可得到电表所接受的加密数据,从而进行充值!!又如其他所说。购买德力西清零卡或者复位卡进行操作!! 这个某宝有卖的!!这里的漏洞 ,物业公司的经理 财务 电工 都喜欢 ,可以牟利,,你懂得!!!
发表评论