Un employé de HackerOne a accédé aux rapports de bugs pour réclamer des primes supplémentaires

Un employé de HackerOne a accédé aux rapports de bugs pour réclamer des primes supplémentaires

La plus grande plateforme de bug bounty, HackerOne, a déclaré avoir licencié un employé qui dérobait des rapports de bugs soumis par des chercheurs externes et les déposait sur d’autres plateformes pour son profit personnel.

HackerOne est l’une des plateformes vers laquelle se tournent les grandes entreprises et les services gouvernementaux pour gérer leurs programmes de bug bounty. HackerOne reçoit des rapports de bugs sur des logiciels de la part de chercheurs en sécurité, puis les trie en interne pour déterminer s’il convient ou non de verser des récompenses à ceux qui les signalent.

Il y a beaucoup d’argent en jeu. En 2020, HackerOne avait versé plus de 100 millions de dollars aux participants qui ont signalé plus de 181 000 vulnérabilités par le biais des primes qu’il gère depuis son lancement en 2012. L’année dernière, Zoom, un client de HackerOne, a versé 1,4 million de dollars par le biais des programmes gérés par HackerOne.

Chris Evans, co-fondateur et RSSI de HackerOne, a déclaré dans un billet de blog publié vendredi que l’ancien employé, dont le rôle était de trier les rapports de bugs pour de nombreux programmes de bug bounty, avait accédé de manière inappropriée à des rapports de sécurité entre le 4 avril et le 22 juin. Il a ensuite divulgué les informations en dehors de la plateforme HackerOne pour réclamer des primes supplémentaires.

L’employé a reçu des primes dans une “poignée de divulgations”, selon Evans.

publicité

Le bug et l’argent du bug

La société a enquêté sur l’incident après avoir reçu une plainte d’un client le 22 juin lui demandant d’enquêter sur “un signalement de vulnérabilité suspect faite en dehors de la plateforme HackerOne”. Le chercheur à l’origine du signalement, utilisant le nom “rzlr”, avait utilisé une “communication menaçante” au sujet de la divulgation de la vulnérabilité.

“Ce client a exprimé son scepticisme quant au fait qu’il s’agissait d’une véritable coïncidence et a fourni un raisonnement détaillé”, a déclaré M. Evans.

Selon Evans, l’ancien employé a divulgué anonymement cette information sur la vulnérabilité en dehors de la plateforme HackerOne dans le but de réclamer des primes supplémentaires.

“Notre enquête a conclu qu’un (désormais ancien) employé de HackerOne a indûment accédé aux données de vulnérabilité de clients pour soumettre des vulnérabilités dupliquées à ces mêmes clients pour un gain personnel”, explique-t-il ensuite.

“Il s’agit d’une violation claire de nos valeurs, de notre culture, de nos politiques et de nos contrats de travail. En moins de 24 heures, nous avons travaillé rapidement pour contenir l’incident en identifiant l’employé de l’époque et en lui coupant l’accès aux données. Nous avons depuis licencié l’employé et renforcé nos défenses afin d’éviter des situations similaires à l’avenir.”

HackerOne a coupé les accès au système de l’employé et a verrouillé à distance son ordinateur portable le 23 juin. L’entreprise a interrogé l’employé le 24 juin et, le 27 juin, elle a “pris possession de l’ordinateur portable de l’acteur malveillant suspendu et a effectué une imagerie et une analyse à distance”.

L’employé, qui avait accès au système depuis le 4 avril, avait été en contact avec sept clients de HackerOne.

HackerOne a officiellement licencié l’employé le 30 juin. Le 1er juillet, HackerOne avait notifié tous les clients dont les programmes de bug bounty avaient été en lien avec l’employé.

HackerOne revoit ses méthodes

HackerOne se dit convaincu que les différentes divulgations étaient le fait d’un seul employé.

“Il s’agit d’un incident grave. Nous sommes convaincus que l’accès interne est désormais maîtrisé. Les délits d’initiés sont l’une des menaces les plus insidieuses en matière de cybersécurité, et nous sommes prêts à faire tout ce qui est en notre pouvoir pour réduire la probabilité de tels incidents à l’avenir”, a déclaré M. Evans.

Evans admet que les systèmes de détection et de réponse existants de HackerOne n’ont pas détecté cette menace de manière proactive. L’entreprise prévoit de renforcer son processus de sélection des employés, d’améliorer l’isolation des données et la journalisation du réseau, et de mettre en œuvre de nouvelles simulations pour tester sa capacité à détecter les menaces internes.

HackerOne a levé 49 millions de dollars de fonds en janvier, ce qui porte son financement total à 160 millions de dollars. Parmi ses clients figurent le ministère américain de la défense, Dropbox, General Motors, GitHub, Goldman Sachs, Google, Hyatt, Microsoft, le ministère de la défense de Singapour, Nintendo, PayPal, Slack, Starbucks, Twitter et Yahoo.

Source : “ZDNet.com”

Leave a Reply

Your email address will not be published. Required fields are marked *