Сотрудник HackerOne крал баг-репорты для продажи на стороне

Екатерина Быстрова 04 Июля 2022 - 09:05

...

Сотрудник HackerOne крал баг-репорты для продажи на стороне

Один из сотрудников HackerOne стащил несколько сообщений об уязвимостях, отправленных сторонними исследователями. Недобросовестный работник рассчитывал получить вознаграждение, продав информацию о багах клиентам HackerOne.

Как отметили в компании, служащий связался с полудюжиной организаций. Интересно, что его сдал один из клиентов, обратившийся в HackerOne с просьбой провести расследование в отношении деятельности персонажа под ником “rzlr”.

Озадаченный клиент обратил внимание на то, что rzlr предлагал купить информацию об уязвимости, о которой ранее сообщили через платформу HackerOne. Поскольку эти баг-репорты были абсолютно идентичны, можно было сделать вывод, что rzlr просто украл и присвоил себе чужую работу.

Внутреннее расследование HackerOne выявило несанкционированный доступ одного из служащих к сообщениям о багах. В период с 4 апреля по 23 июня работник связался с семью компаниями, чтобы сообщить об уязвимостях, которые уже были раскрыты через систему HackerOne.

Интересно, что нечестному сотруднику удалось получить вознаграждения за информацию об отдельных проблемах в безопасности. Именно это, кстати, и позволило вычислить злоумышленника — команда HackerOne просто отследила соответствующие денежные переводы.

Проанализировав сетевой трафик служащего, специалисты выявили дополнительные доказательства незаконной деятельности. Менее чем через сутки после начала расследования HackerOne выявила непорядочного сотрудника и закрыла ему доступ к баг-репортам. Сообщается также, что экс-служащий в диалоге с клиентами вёл себя достаточно агрессивно, угрожая и запугивая их.

Несмотря на то что в ходе расследования специалисты не выявили утечки данных об уязвимостях, HackerOne проинформировала лично каждого из затронутых клиентов.

Напомним, что платформа HackerOne ушла из России. Тем не менее появились наши аналоги — от «Киберполигон» и Positive Technologies, например. А на одном из последних эфиров AM Live мы рассказали, как белым хакерам заработать в России на поиске уязвимостей.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 22 Ноября 2024 - 17:45

Windows Ошибки конфигурации программ Домашние пользователи Корпорации Microsoft

Обновление WinAppSDK сломало механизм деинсталляции в Windows 10

C 12 ноября ряд пользователей Windows 10 столкнулись с проблемой обновления и деинсталляции пакетных приложений вроде Microsoft Teams. Microsoft подтвердила наличие бага и отозвала обновление WinAppSDK.

Судя по всему, проблема вызвана пакетом WinAppSDK версии 1.6.2, которая автоматом установилась в системы пользователей после инсталляции приложения, разработанного с использованием Win App SDK.

На затронутых устройствах, работающих под управлением Windows 10 22H2, выводилась ошибка «Something happened on our end» в разделе «Загрузки» Microsoft Store.

«Если вы системный администратор и пытаетесь управлять приложениями через PowerShell с помощью команды “Get-AppxPackage“, система может выдать вам ошибку “Deployment failed with HRESULT: 0x80073CFA“», — объясняет Microsoft.

«Вы также можете столкнуться с проблемами обновления или переустановки Microsoft Teams и других сторонних приложений».

Корпорация пока отозвала проблемную версию WinAppSDK 1.6.2. Один из разработчиков Майк Кридер уточнил, что фикс стоит ждать с выходом WinAppSDK 1.6.3.

Сотрудник HackerOne крал баг-репорты для продажи на стороне

Читайте также