🔥 Sở Lao động - Thương binh và Xã hội tỉnh Quảng Nam đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh Hà Tĩnh đã đăng ký tín nhiệm. 🔥                    🔥 Văn phòng HĐND và UBND huyện Ngọc Hồi, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Công Thương tỉnh Ninh Bình đã đăng ký tín nhiệm. 🔥                    🔥 Trung tâm Xúc tiến thương mại và Đầu tư tỉnh An Giang đã đăng ký tín nhiệm. 🔥                   

HackerOne xác nhận bị vi phạm bảo mật do một nhân viên nội bộ gây ra

06/07/2022

Thứ Sáu tuần trước, nền tảng bug bounty HackerOne đã tiết lộ rằng một nhân viên của họ đã truy cập không đúng cách vào các báo cáo lỗ hổng bảo mật được gửi cho công ty vì mục đích thu lợi cá nhân.

HackerOne cho biết nhân viên này đã tiết lộ thông tin về lỗ hổng ra bên ngoài nền tảng HackerOne để yêu cầu tiền thưởng từ phía khách hàng. "Trong vòng chưa đầy 24 giờ, chúng tôi đã làm việc nhanh chóng để ngăn chặn sự cố bằng cách xác định nhân viên và cắt quyền truy cập vào dữ liệu".

Nhân viên này, có quyền truy cập vào hệ thống HackerOne trong khoảng thời gian từ ngày 4 tháng 4 đến ngày 23 tháng 6 năm 2022 để phân loại các báo cáo lỗ hổng liên quan đến các chương trình khách hàng khác nhau, đã bị công ty cho thôi việc từ ngày 30 tháng 6.

Sự việc là một "vi phạm rõ ràng" đối với các giá trị, văn hóa, chính sách và hợp đồng lao động. HackerOne cho biết họ đã nhận được cảnh báo về vi phạm vào ngày 22 tháng 6 từ một khách hàng ẩn danh - người này đã yêu cầu HackerOne "điều tra về việc tiết lộ lỗ hổng đáng ngờ" bên ngoài nền tảng sau khi nhận được liên hệ từ một đối tượng ẩn danh với giọng điệu đe dọa.

Sau khi phân tích dữ liệu nhật ký nội bộ được sử dụng để theo dõi quyền truy cập của nhân viên vào các báo cáo của khách hàng, HackerOne đã phát hiện dấu vết của một nhân viên giả mạo, mục tiêu của hắn là gửi lại các báo cáo lỗ hổng bảo mật trùng lặp cho cùng một khách hàng sử dụng nền tảng để nhận các khoản tiền thưởng.

"Kẻ đe dọa đã tạo một tài khoản HackerOne sockpuppet và nhận được tiền thưởng cho một số thông tin tiết lộ". Bảy khách hàng của HackerOne đã nhận được liên hệ trực tiếp từ hắn.

"Theo điều tra, tiền thưởng của kẻ đe dọa được liên kết với một tài khoản thu lợi cho một nhân viên. Phân tích lưu lượng truy cập mạng cho thấy sự liên kết giữa tài khoản chính và tài khoản sockpuppet của kẻ đe dọa."

HackerOne đã gửi thông báo riêng cho các khách hàng về các báo cáo đã bị xâm phạm cùng với thời gian truy cập, đồng thời nhấn mạnh rằng họ không tìm thấy dấu hiệu nào cho thấy thông tin lỗ hổng đã bị lạm dụng hoặc thông tin khách hàng khác bị xâm phạm.

Ngoài ra, HackerOne cho biết họ đang có kế hoạch triển khai các cơ chế ghi log bổ sung để hỗ trợ ứng cứu sự cố, cô lập dữ liệu để giảm phạm vi tác động khi gặp sự cố và tăng cường các biện pháp giám giát để xác định truy cập bất thường và chủ động phát hiện các mối đe dọa nội bộ.

Nguồn: thehackernews.com.

scrolltop