Header Ads Widget

Un empleado de Rogue HackerOne robó recompensas con informes de errores falsos

 

Un empleado de Rogue HackerOne robó recompensas con informes de errores falsos

HackerOne , la plataforma de recompensas por errores que procesa los envíos de vulnerabilidades entre los investigadores de seguridad y las empresas participantes, reveló un incidente sospechoso esta semana.

HackerOne dijo que uno de sus empleados recientemente incorporados envió informes de errores ya confirmados a través de una cuenta de marioneta y logró recibir recompensas de las empresas interesadas. HackerOne identificó y despidió al empleado deshonesto e informó a las empresas afectadas sobre su investigación.

Empleado de HackerOne que roba recompensas

El 22 de junio, HackerOne recibió una solicitud de alguien con un identificador " rzlr " para investigar una divulgación de vulnerabilidad sospechosa, lo que hizo que la plataforma se diera cuenta de que estaba ocurriendo un fraude importante en su empresa.

Al día siguiente, HackerOne notó que uno de sus empleados tuvo acceso a la plataforma durante más de dos meses, desde que se unió a la empresa hasta que había estado enviando vulnerabilidades ya reveladas a las empresas participantes.

Al crear una cuenta de marioneta para enrutar estos envíos falsos, el empleado deshonesto se puso en contacto con siete empresas e incluso recibió recompensas por algunos de los envíos. Investigando más a fondo con los socios de pago, HackerOne identificó al empleado deshonesto y lo despidió de inmediato.

"Después de identificar estas recompensas como probablemente inapropiadas, HackerOne se comunicó con los proveedores de pago relevantes, quienes trabajaron en cooperación con nosotros para proporcionar información adicional".

También bloquearon su computadora portátil de forma remota en espera de la investigación e hicieron las imágenes y el análisis forense para obtener más información. Y el 30 de junio, HackerOne dijo que revisará con un abogado para decidir si la remisión penal de este asunto es apropiada.

“Continuamos con el análisis forense de los registros producidos y los dispositivos utilizados por el exempleado” – HackerOne

Además, HackerOne dijo que no encontró evidencia del uso indebido de los datos de vulnerabilidad e informó a los clientes individualmente a quienes se accedió a sus informes con fechas y horas de acceso para cada divulgación de vulnerabilidad.

Publicar un comentario

0 Comentarios