「黑客」偷窃他人漏洞报告变卖成副业，漏洞赏金平台出“内鬼”

精选评测好文

原文标题：偷窃他人漏洞报告变卖成副业，漏洞赏金平台出“内鬼”

在如今高度发达的网络大数据时代，各个公司的发展都依赖着互联网的加持。但同时，各种各样的安全漏洞、非法破解等问题层出不穷，再完美的系统也会存在容易被攻击的 Bug。

在这样的背景下，公司与其让黑客发现并攻击其难以发现的安全漏洞，倒不如花钱请 " 白帽黑客 " 先披露，然后尽快做出修补。

本文提到的 HackerOne 就是全球知名的 " 白帽黑客 " 聚集地，它是一个用于协调漏洞披露，并为提交安全报告的漏洞猎手提供货币奖励的中介平台。

但在近日，HackerOne 被曝出其一内部员工窃取了其他人通过该漏洞赏金平台提交的漏洞报告，并将相关报告披露给受影响的客户以索取经济奖励。

罪魁祸首被锁定

6 月 22 日，HackerOne 接到了一个客户的请求，让他们调查一个使用 "rzlr " 账号的人通过非平台通信渠道披露的可疑漏洞。该客户注意到，同样的安全问题之前已经通过 HackerOne 提交过。

一般来说，漏洞碰撞，即多个研究人员发现并报告相同的安全问题，这种情况经常会发生。在这种情况下，真正的报告和来自威胁行为者的报告有明显的相似之处，这就促使人们要仔细观察。

HackerOne 经过调查确定，其一名员工自 4 月 4 日加入公司至 6 月 23 日，已经访问该平台系统两个多月，并联系了七家公司来报告已经通过其系统披露的漏洞。

偷窃漏洞报告变卖成副业

该公司表示，这名流氓员工从其提交的一些报告中获得赏金。这使得 HackerOne 能够跟踪钱的去向，并确定肇事者是其为 " 众多客户项目 " 分流漏洞披露的工作人员之一。

" 威胁行为者创建了一个 HackerOne 傀儡账户，并在少数披露里获得了赏金。在确定这些赏金可能不正当后，公司联系了相关的支付供应商，他们与我们合作提供了更多的信息。" —— HackerOne

在分析了该威胁行为者的网络流量后，HackerOne 发现了更多的证据来将他们在平台上的主要账户和傀儡账户联系起来。最终在开始调查后不到 24 小时的时间，HackerOne 确定了那名威胁行为者，并终止了他的系统访问权限、远程锁定了他的笔记本电脑。

在接下来的几天里，HackerOne 对嫌疑人的电脑进行了远程取证成像和分析，并审查了对该员工在工作期间的数据访问日志，以确定该威胁行为者互动过的所有漏洞赏金项目。

6 月 30 日，HackerOne 解雇了这名威胁行为者：

" 根据与律师的审查，我们将决定对此事进行刑事移交是否合适。我们继续对前员工产生的日志和使用的设备进行取证分析。" —— HackerOne

HackerOne 指出，其前员工在与客户的互动中使用了 " 威胁性 " 和 " 恐吓性 " 语言，并敦促客户在收到以攻击性语气做出的披露时与该公司联系。

HackerOne 表示，" 在绝大多数情况下 "，它没有证据表明漏洞数据被滥用。然而，那些被内部威胁行为者访问的报告，无论是出于恶意还是合法的目的，都已经被单独告知每个漏洞披露的访问日期和时间。

HackerOne 还发邮件通知了平台上提交内容已被流氓员工访问过的黑客：

来源：@H4x0r-DZ 推特

邮件告知相关黑客们该事件，并包括威胁行为者合法访问的报告清单，作为其工作的一部分，或意图滥用所提交的漏洞报告。此外，这位前员工提交的所有报告都被标记为重复，并不会对合法安全人员的支付产生影响。

HackerOne 在事件报告中总结到：" 总而言之，这是一个严重的事件。我们相信内部人员的访问现在已经得到控制。内部威胁是网络安全中最阴险的威胁之一，我们随时准备尽一切努力来减少未来发生此类事件的可能性。"

文章推荐：宅家煲剧神器，爱奇艺电视果5S！<\a>

「七彩虹」将星X15XS屏幕升级99%sRGB+144Hz性价比之王来了！

「索尼」抖音拍片神器！索尼相机仅5499元

「dna」狗从哪里来，我的朋友？

新款拯救者Y9000K发布；小米美的被中消协点名-科技犬建哥

「amd」窃取450G的AMD内部数据，这些黑客可能只用了5分钟？！

哎呦不错哦，赞！(686)

打赏 打赏给作者

郑重声明：本文“「黑客」偷窃他人漏洞报告变卖成副业，漏洞赏金平台出“内鬼””，https://nmgjrty.com/shumacp_475421.html内容，由CSDN提供发布，请自行判断内容优劣。

上一篇：「万达电影」年薪903万的万达电影董事长，辞职了

下一篇：「存储芯片」降价保销量？消息称三星考虑降低存储芯片价格