Die Schwachstellen-Koordinations- und Bug-Bounty-Plattform HackerOne hat am Freitag bekannt gegeben, dass ein ehemaliger Mitarbeiter des Unternehmens unrechtmäßig auf Sicherheitsberichte zugegriffen hat, die ihm zur persönlichen Bereicherung vorgelegt wurden.
„Die Person hat die Informationen über die Schwachstellen anonym außerhalb der HackerOne-Plattform weitergegeben, um zusätzliche Prämien zu erhalten“, hieß es. „In weniger als 24 Stunden haben wir den Vorfall eingedämmt, indem wir den damaligen Mitarbeiter identifiziert und den Zugang zu den Daten gesperrt haben.
Der Mitarbeiter, der zwischen dem 4. April und dem 23. Juni 2022 Zugang zu den Systemen von HackerOne hatte, um Schwachstellenmeldungen im Zusammenhang mit verschiedenen Kundenprogrammen zu bearbeiten, wurde von dem Unternehmen mit Hauptsitz in San Francisco zum 30. Juni gekündigt.
HackerOne bezeichnete den Vorfall als „klaren Verstoß“ gegen seine Werte, Kultur, Richtlinien und Arbeitsverträge und sagte, dass es am 22. Juni von einem ungenannten Kunden auf den Verstoß aufmerksam gemacht wurde, der das Unternehmen durch eine Mitteilung einer Person mit dem Benutzernamen „rzlr“, die eine „aggressive“ und „einschüchternde“ Sprache verwendete, aufforderte, „eine verdächtige Schwachstellenmeldung zu untersuchen“.
Die Analyse interner Protokolldaten, mit denen der Zugriff der Mitarbeiter auf Kundenmeldungen überwacht wurde, ergab, dass es sich um einen böswilligen Insider handelte, dessen Ziel es war, denselben Kunden, die die Plattform nutzen, erneut Schwachstellenmeldungen zu übermitteln, um Geld zu erhalten.
„Der Bedrohungsakteur erstellte ein HackerOne-Konto und hatte in einer Handvoll von Fällen Kopfgelder erhalten“, so HackerOne in einem Bericht nach dem Vorfall und fügte hinzu, dass sieben seiner Kunden direkt von dem Bedrohungsakteur kontaktiert wurden.
„Wir folgten der Geldspur und erhielten die Bestätigung, dass das Kopfgeld des Bedrohungsakteurs mit einem Konto verknüpft war, von dem ein damaliger Mitarbeiter von HackerOne finanziell profitierte. Die Analyse des Netzwerkverkehrs des Bedrohungsakteurs lieferte zusätzliche Beweise für die Verbindung zwischen den Haupt- und Sockenpuppen-Konten des Bedrohungsakteurs.“
HackerOne teilte außerdem mit, dass es seine Kunden individuell über die genauen Fehlerberichte informiert hat, auf die die böswillige Partei zugegriffen hat, sowie über den Zeitpunkt des Zugriffs und betonte, dass es keine Beweise dafür gibt, dass Schwachstellendaten missbraucht wurden oder dass auf andere Kundeninformationen zugegriffen wurde.
Darüber hinaus will das Unternehmen zusätzliche Protokollierungsmechanismen einführen, um die Reaktion auf Vorfälle zu verbessern, Daten zu isolieren, um den „Explosionsradius“ zu verringern, und die Prozesse zu verbessern, um anomale Zugriffe zu identifizieren und Insider-Bedrohungen proaktiv zu erkennen.