「黑客」偷窃他人漏洞报告变卖成副业,漏洞赏金平台出“内鬼”
精选评测好文
原文标题:偷窃他人漏洞报告变卖成副业,漏洞赏金平台出“内鬼”
在如今高度发达的网络大数据时代,各个公司的发展都依赖着互联网的加持。但同时,各种各样的安全漏洞、非法破解等问题层出不穷,再完美的系统也会存在容易被攻击的 Bug。
在这样的背景下,公司与其让黑客发现并攻击其难以发现的安全漏洞,倒不如花钱请 " 白帽黑客 " 先披露,然后尽快做出修补。
本文提到的 HackerOne 就是全球知名的 " 白帽黑客 " 聚集地,它是一个用于协调漏洞披露,并为提交安全报告的漏洞猎手提供货币奖励的中介平台。
但在近日,HackerOne 被曝出其一内部员工窃取了其他人通过该漏洞赏金平台提交的漏洞报告,并将相关报告披露给受影响的客户以索取经济奖励。
罪魁祸首被锁定
6 月 22 日,HackerOne 接到了一个客户的请求,让他们调查一个使用 "rzlr " 账号的人通过非平台通信渠道披露的可疑漏洞。该客户注意到,同样的安全问题之前已经通过 HackerOne 提交过。
一般来说,漏洞碰撞,即多个研究人员发现并报告相同的安全问题,这种情况经常会发生。在这种情况下,真正的报告和来自威胁行为者的报告有明显的相似之处,这就促使人们要仔细观察。
HackerOne 经过调查确定,其一名员工自 4 月 4 日加入公司至 6 月 23 日,已经访问该平台系统两个多月,并联系了七家公司来报告已经通过其系统披露的漏洞。
偷窃漏洞报告变卖成副业
该公司表示,这名流氓员工从其提交的一些报告中获得赏金。这使得 HackerOne 能够跟踪钱的去向,并确定肇事者是其为 " 众多客户项目 " 分流漏洞披露的工作人员之一。
" 威胁行为者创建了一个 HackerOne 傀儡账户,并在少数披露里获得了赏金。在确定这些赏金可能不正当后,公司联系了相关的支付供应商,他们与我们合作提供了更多的信息。" —— HackerOne
在分析了该威胁行为者的网络流量后,HackerOne 发现了更多的证据来将他们在平台上的主要账户和傀儡账户联系起来。最终在开始调查后不到 24 小时的时间,HackerOne 确定了那名威胁行为者,并终止了他的系统访问权限、远程锁定了他的笔记本电脑。
在接下来的几天里,HackerOne 对嫌疑人的电脑进行了远程取证成像和分析,并审查了对该员工在工作期间的数据访问日志,以确定该威胁行为者互动过的所有漏洞赏金项目。
6 月 30 日,HackerOne 解雇了这名威胁行为者:
" 根据与律师的审查,我们将决定对此事进行刑事移交是否合适。我们继续对前员工产生的日志和使用的设备进行取证分析。" —— HackerOne
HackerOne 指出,其前员工在与客户的互动中使用了 " 威胁性 " 和 " 恐吓性 " 语言,并敦促客户在收到以攻击性语气做出的披露时与该公司联系。
HackerOne 表示," 在绝大多数情况下 ",它没有证据表明漏洞数据被滥用。然而,那些被内部威胁行为者访问的报告,无论是出于恶意还是合法的目的,都已经被单独告知每个漏洞披露的访问日期和时间。
HackerOne 还发邮件通知了平台上提交内容已被流氓员工访问过的黑客:
来源:@H4x0r-DZ 推特
邮件告知相关黑客们该事件,并包括威胁行为者合法访问的报告清单,作为其工作的一部分,或意图滥用所提交的漏洞报告。此外,这位前员工提交的所有报告都被标记为重复,并不会对合法安全人员的支付产生影响。
HackerOne 在事件报告中总结到:" 总而言之,这是一个严重的事件。我们相信内部人员的访问现在已经得到控制。内部威胁是网络安全中最阴险的威胁之一,我们随时准备尽一切努力来减少未来发生此类事件的可能性。"
文章推荐:宅家煲剧神器,爱奇艺电视果5S!<\a>
其他人还看了
「七彩虹」将星X15XS屏幕升级99%sRGB+144Hz性价比之王来了!
新款拯救者Y9000K发布;小米美的被中消协点名-科技犬建哥
「amd」窃取450G的AMD内部数据,这些黑客可能只用了5分钟?!
郑重声明:本文“「黑客」偷窃他人漏洞报告变卖成副业,漏洞赏金平台出“内鬼””,https://nmgjrty.com/shumacp_475421.html内容,由CSDN提供发布,请自行判断内容优劣。
- 全部评论(0)
- 「存储芯片」降价保销量?消息称三星考虑降低存储芯片价格
- 「万达电影」年薪903万的万达电影董事长,辞职了
- 「黑客」偷窃他人漏洞报告变卖成副业,漏洞赏金平台出“内鬼”
- 「苹果公司」鸿海精密6月营收5262亿新台币同比增长31.02%
- 「小米」超大杯的小米12SUltra,还藏着这些秘密!
- 「专利」索尼申请新专利:玩家与直播观众实时互动的「帮手模式」
- 「5g」799元解锁5G,华为手机借“壳”重生?
- 「徕卡」“全员徕卡”导致酷安崩了?官方:已知晓问题正在修复
- 「小米」徕卡联名日益“贴牌化”,小米高端之路可能适得其反
- 「amd」英特尔RaptorLake将支持DDR5-5600,但缺少PCIe5.0M.2
- 「小米」爆肝3天,这可能是全网首个小米12SUltra的影像测评
- 「网易云音乐」网易云音乐“空间音频”即将上线
- 「先马」先马KW240DW一体式水冷散热器评测:可DIY冷头图案的全白性价比之选
- 「特斯拉」比亚迪称王,多亏特斯拉?
- 「翻译」Windows上也有《快捷指令》!用这款软件,助你效率提升200%
- 俄罗斯开始测试国产电动摩托车AurusMerlon:百公里加速3.7秒,续航里程200公里
最新更新
- 「存储芯片」降价保销量?消息称三星考
- 「万达电影」年薪903万的万达电影董事长
- 「黑客」偷窃他人漏洞报告变卖成副业,
- 「苹果公司」鸿海精密6月营收5262亿新台
- 「小米」超大杯的小米12SUltra,还藏着这
- 「专利」索尼申请新专利:玩家与直播观
- 「5g」799元解锁5G,华为手机借“壳”重生
- 「徕卡」“全员徕卡”导致酷安崩了?官
- 「小米」徕卡联名日益“贴牌化”,小米
- 「amd」英特尔RaptorLake将支持DDR5-5600,但缺
- 「小米」爆肝3天,这可能是全网首个小米
- 「网易云音乐」网易云音乐“空间音频”
- 「先马」先马KW240DW一体式水冷散热器评测
- 「特斯拉」比亚迪称王,多亏特斯拉?
- 「翻译」Windows上也有《快捷指令》!用这
推荐阅读
- 「万达电影」年薪903万的万达电影董事长,辞职了
- 「苹果公司」鸿海精密6月营收5262亿新台币同比增长31.02%
- 「小米」超大杯的小米12SUltra,还藏着这些秘密!
- 「专利」索尼申请新专利:玩家与直播观众实时互动的「帮手模式」
- 「5g」799元解锁5G,华为手机借“壳”重生?
- 「徕卡」“全员徕卡”导致酷安崩了?官方:已知晓问题正在修复
- 「小米」徕卡联名日益“贴牌化”,小米高端之路可能适得其反
- 「amd」英特尔RaptorLake将支持DDR5-5600,但缺少PCIe5.0M.2
- 「小米」爆肝3天,这可能是全网首个小米12SUltra的影像测评
- 「网易云音乐」网易云音乐“空间音频”即将上线
- 「先马」先马KW240DW一体式水冷散热器评测:可DIY冷头图案的全白性价比之选
- 「翻译」Windows上也有《快捷指令》!用这款软件,助你效率提升200%
猜你喜欢
- [iPhone]iPhone13promax远峰蓝128G入手
- [安卓手机]realme真我GTNeo2开箱,金刚石冰芯散热系统+E4屏,5000mAh大电池
- [贴膜]红米9爆屏更换记录,弯曲的中框修复
- [智能机器人]编程从娃娃抓起,MakeBlock程小奔上手体验
- [智能摄像机]内置大电池,无需打孔走线,小米室外摄像机给你满满的安全感
- [充电器]65w网红氮化镓一次看个够
- [电脑支架]原汤化原食,LGErgo显示器支架
- [蓝牙耳机]中端耳机音质天花板,降噪很有一手,鹿图COCO真蓝牙降噪耳机评测
- [音频播放器]关于R01主板的主观看法,和一些碎碎念
- [充电器]双口快充,满足日常需求
- [VR设备]GOOVISLite头戴影院评测
- [蓝牙耳机]魅蓝Blus耳机体验,魅蓝依旧还是当年坚持做良品的青年良品
- [安卓手机]从5988跌至2749,256GB+鸿蒙OS+7nm麒麟,从高端市场跌至中端市场
- 「轻众测|素诺智能可视冲牙器」别急,对准再冲!素诺可视冲牙器让残渣无所
- 「九号新品Nano及Air T15」萌娃初体验——Ninebot九号平衡车Nano