Разделы

Безопасность Бизнес Кадры Техника

Сотрудник HackerOne воровал у сервиса отчеты об уязвимостях и продавал их запуганным клиентам

Сотрудник сервиса HackerOne наживался за счет разработчиков ПО и «белых» хакеров, тайно воруя отчеты об уязвимостях у настоящих специалистов по информационной безопасности – участников различных программ Bug Bounty. Злоумышленник не просто присваивал себе чужой интеллектуальный труд, но и прибегал к тактике запугивания клиентов HackerOne. Правда, продолжалось это все недолго – чуть меньше трех месяцев, теперь мошенник уволен и рискует попасть под уголовное преследование.

Ворованные баг-репорты на продажу

Штатный сотрудник платформы для «белых» хакеров HackerOne занимался присвоением отправленных пользователями отчетов об уязвимостях в ПО и в агрессивной манере небезуспешно продавал их затронутым клиентам.

Согласно информации, опубликованной на официальном сайте HackerOne, мошенник за время работы в компании по собственной инициативе связался как минимум с семью клиентами площадки и в ряде случаев сумел получить денежное вознаграждение.

Представители платформы не уточняют имя, пол, возраст, должность работника, уличенного в мошенничестве, а также сумму нечестно им нажитого. Известно, что тот был принят на работу в начале апреля 2022 г. и уволен в конце июня 2022 г. после того, как о его проделках стало известно руководству сервиса. Сервис рассмотрит целесообразность обращения в правоохранительные органы в связи со случившимся.

haker.jpg
Сотрудник HackerOne крал баг-репорты для последующей продажи запуганным клиентам платформы

Сервис HackerOne выступает в роли посредника между добросовестными исследователями в области информационной безопасности, так называемыми «белыми» хакерами, и разработчиками программного обеспечения, заинтересованными в выявлении ошибок в их продуктах. Специалисты-взломщики находят уязвимости в информационных системах, сервисах и приложениях, после чего отправляют специальные отчеты посредством HackerOne их разработчикам и получают оплату за свой труд в рамках соответствующей программы Bug Bounty («охота за багами»).

Как вычислили мошенника

Из хронологии событий, воссозданной в ходе внутреннего расследования в HackerOne, следует, что выявить мошенника в рядах персонала удалось благодаря обращению в службу поддержки представителя одного из клиентов сервиса. Причем расследование заняло у специалистов около суток, после чего злоумышленник был заблокирован во внутренних системах HackerOne.

В июне 2022 г. HackerOne принял жалобу на человека, скрывающегося под псевдонимом rzlr, который вышел на связь с клиентом с использованием не относящихся к платформе средств коммуникации. Незнакомец попытался передать в обмен на денежную компенсацию информацию об уязвимости в продукте клиента. Последнего смутил тот факт, что на веб-сайте площадки уже присутствовал аналогичный баг-репорт, а также выбранная собеседником тактика запугивания – вероятно, тот угрожал опубликовать информацию об уязвимости в случае невыплаты ему денежного вознаграждения.

Как отмечает Bleeping Computer, ситуации, в которых несколько исследователей обнаруживают одну и ту же уязвимость, а затем рапортуют о ней, возникают достаточно часто. Однако в данном конкретном случае отчеты оказались слишком уж похожими друг на друга, что заставило специалистов HackerOne уделить ему особое внимание. Аналогичные жалобы начали поступать и от других клиентов.

Внутреннее расследование, проведенное сервисом, показало, что один из новых сотрудников имел несанкционированный доступ к баг-репортам, отправленным пользователями. Создав дополнительную учетную запись на платформе, мошенник с ее помощью рассылал клиентам копии отчетов, подготовленных реальными «белыми» хакерами, ради собственной выгоды.

Как сократить время на настройку резервного копирования и повысить его надежность?
Цифовизация

Выявить вора среди множества сотрудников удалось благодаря анализу журналов, которые ведутся внутренним ПО HackerOne. Список подозреваемых сократился до одного единственного сотрудника сервиса – никто кроме него не обращался сразу ко всем баг-репортам, которые вызвали подозрение у клиентов площадки.

Подтвердить вину предполагаемого мошенника помог денежный след, который HackerOne удалось отследить в сотрудничестве с поставщиками платежных услуг. Все перечисленные злоумышленнику суммы вознаграждения были предназначены одному и тому же человеку.

Кроме того, в HackerOne смогли доказать наличие связи между аккаунтом мошенника на площадке и конкретным сотрудником – в этом помог анализ сетевого трафика.

HackerOne больше не для россиян

В середине марта 2022 г. HackerOne отказалась обслуживать и перестала выплачивать россиянам и белорусам вознаграждения за найденные уязвимости. В компании, владеющей площадкой, объяснили отказ от выплат невозможностью участия хакеров из России и Белоруссии в финансовых транзакциях из-за международных санкций.

В конце марта 2022 г. «Коммерсант» писал о том, что до конца весны 2022 г. в России появятся по меньшей мере два аналога HackerOne.

Дмитрий Степанов