Спецпроекты

Безопасность Бизнес Кадры Техника

Сотрудник HackerOne воровал у сервиса отчеты об уязвимостях и продавал их запуганным клиентам

Сотрудник сервиса HackerOne наживался за счет разработчиков ПО и «белых» хакеров, тайно воруя отчеты об уязвимостях у настоящих специалистов по информационной безопасности – участников различных программ Bug Bounty. Злоумышленник не просто присваивал себе чужой интеллектуальный труд, но и прибегал к тактике запугивания клиентов HackerOne. Правда, продолжалось это все недолго – чуть меньше трех месяцев, теперь мошенник уволен и рискует попасть под уголовное преследование.

Ворованные баг-репорты на продажу

Штатный сотрудник платформы для «белых» хакеров HackerOne занимался присвоением отправленных пользователями отчетов об уязвимостях в ПО и в агрессивной манере небезуспешно продавал их затронутым клиентам.

Согласно информации, опубликованной на официальном сайте HackerOne, мошенник за время работы в компании по собственной инициативе связался как минимум с семью клиентами площадки и в ряде случаев сумел получить денежное вознаграждение.

Представители платформы не уточняют имя, пол, возраст, должность работника, уличенного в мошенничестве, а также сумму нечестно им нажитого. Известно, что тот был принят на работу в начале апреля 2022 г. и уволен в конце июня 2022 г. после того, как о его проделках стало известно руководству сервиса. Сервис рассмотрит целесообразность обращения в правоохранительные органы в связи со случившимся.

haker.jpg
Сотрудник HackerOne крал баг-репорты для последующей продажи запуганным клиентам платформы

Сервис HackerOne выступает в роли посредника между добросовестными исследователями в области информационной безопасности, так называемыми «белыми» хакерами, и разработчиками программного обеспечения, заинтересованными в выявлении ошибок в их продуктах. Специалисты-взломщики находят уязвимости в информационных системах, сервисах и приложениях, после чего отправляют специальные отчеты посредством HackerOne их разработчикам и получают оплату за свой труд в рамках соответствующей программы Bug Bounty («охота за багами»).

Как вычислили мошенника

Из хронологии событий, воссозданной в ходе внутреннего расследования в HackerOne, следует, что выявить мошенника в рядах персонала удалось благодаря обращению в службу поддержки представителя одного из клиентов сервиса. Причем расследование заняло у специалистов около суток, после чего злоумышленник был заблокирован во внутренних системах HackerOne.

В июне 2022 г. HackerOne принял жалобу на человека, скрывающегося под псевдонимом rzlr, который вышел на связь с клиентом с использованием не относящихся к платформе средств коммуникации. Незнакомец попытался передать в обмен на денежную компенсацию информацию об уязвимости в продукте клиента. Последнего смутил тот факт, что на веб-сайте площадки уже присутствовал аналогичный баг-репорт, а также выбранная собеседником тактика запугивания – вероятно, тот угрожал опубликовать информацию об уязвимости в случае невыплаты ему денежного вознаграждения.

Как отмечает Bleeping Computer, ситуации, в которых несколько исследователей обнаруживают одну и ту же уязвимость, а затем рапортуют о ней, возникают достаточно часто. Однако в данном конкретном случае отчеты оказались слишком уж похожими друг на друга, что заставило специалистов HackerOne уделить ему особое внимание. Аналогичные жалобы начали поступать и от других клиентов.

Внутреннее расследование, проведенное сервисом, показало, что один из новых сотрудников имел несанкционированный доступ к баг-репортам, отправленным пользователями. Создав дополнительную учетную запись на платформе, мошенник с ее помощью рассылал клиентам копии отчетов, подготовленных реальными «белыми» хакерами, ради собственной выгоды.

Выявить вора среди множества сотрудников удалось благодаря анализу журналов, которые ведутся внутренним ПО HackerOne. Список подозреваемых сократился до одного единственного сотрудника сервиса – никто кроме него не обращался сразу ко всем баг-репортам, которые вызвали подозрение у клиентов площадки.

Подтвердить вину предполагаемого мошенника помог денежный след, который HackerOne удалось отследить в сотрудничестве с поставщиками платежных услуг. Все перечисленные злоумышленнику суммы вознаграждения были предназначены одному и тому же человеку.

Кроме того, в HackerOne смогли доказать наличие связи между аккаунтом мошенника на площадке и конкретным сотрудником – в этом помог анализ сетевого трафика.

HackerOne больше не для россиян

В середине марта 2022 г. HackerOne отказалась обслуживать и перестала выплачивать россиянам и белорусам вознаграждения за найденные уязвимости. В компании, владеющей площадкой, объяснили отказ от выплат невозможностью участия хакеров из России и Белоруссии в финансовых транзакциях из-за международных санкций.

В конце марта 2022 г. «Коммерсант» писал о том, что до конца весны 2022 г. в России появятся по меньшей мере два аналога HackerOne.

Дмитрий Степанов

Короткая ссылка