HackerOne a nié avoir bloqué les paiements aux chasseurs de primes de bogues ukrainiens après que les pirates informatiques du pays se soient vu refuser l’accès à l’argent gagné via la plate-forme.

La plateforme de primes aux bogues a suscité des critiques cette semaine lorsque des utilisateurs basés en Ukraine ont signalé qu’ils étaient empêchés de récupérer les fonds détenus sur leurs comptes.

Plusieurs chasseurs de primes de bogues ont posté en ligne que leurs comptes n’étaient plus accessibles car les spéculations augmentaient selon lesquelles ils avaient été incorrectement affectés par les sanctions gouvernementales mondiales imposées à la Russie et à la Biélorussie.

Vladimir Metnew captures d’écran partagées d’e-mails de HackerOne indiquant qu’il s’était vu retirer l’accès en raison de « sanctions économiques » dans sa région.

Metnëw, un ressortissant ukrainien, n’était que l’un des nombreux Chercheurs ukrainiens qui a aussi dit que leur accès aux fonds avait été refusé.

HackerOne a affirmé que le problème était dû à des « retards dans les systèmes de paiement backend » et a déclaré que l’accès avait été rétabli.

Metnëw a écrit dans une mise à jour qu’il avait repris le contrôle en tweetant : « On dirait que H1 [HackerOne] m’a finalement permis (et j’espère que d’autres hackers ukrainiens aussi) de retirer de l’argent de H1.

‘Mauvaise communication’

Dans une déclaration envoyée à La gorgée quotidienneChris Evans, directeur du piratage et CISO chez HackerOne, a déclaré que les paiements n’avaient pas été bloqués et a imputé la confusion à une « mauvaise communication ».

Evans a déclaré : « Au nom de tout le monde chez HackerOne, je suis vraiment désolé pour la façon dont notre mauvaise communication a causé de la confusion et un stress excessif pour la communauté des hackers ukrainiens.

« Nous n’avons pas bloqué et ne bloquerons pas les paiements légaux aux pirates informatiques ukrainiens. Nous soutenons activement le combat de l’Ukraine pour la liberté.

« Il y a eu des retards dans les systèmes de paiement backend pour certains pirates informatiques ukrainiens. Cette situation a ensuite été naturellement confondue avec des communications généralement inexactes avec les pirates. Nos équipes travaillent pour minimiser ces retards.

Les sanctions

La suspension temporaire de l’accès aux fonds détenus par les pirates informatiques ukrainiens intervient après que les chasseurs de primes de bogues en Russie et en Biélorussie ont été empêchés d’utiliser HackerOne en raison des sanctions financières imposées aux pays à la suite de l’invasion de l’Ukraine.

Dans un tweet maintenant supprimé, le PDG de HackerOne, Mårten Mickos, a affirmé que l’argent détenu sur des comptes appartenant à des pirates informatiques russes et biélorusses serait automatiquement reversé à des œuvres caritatives.

HackerOne est revenu sur cette déclaration, racontant La gorgée quotidienne qu’il détient tous les paiements de récompense pour les utilisateurs dans les régions sanctionnées.

Evans a expliqué: «Nous ne versons pas automatiquement de primes à l’UNICEF ou à toute autre organisation caritative. Nous donnons les récompenses des pirates à des œuvres caritatives uniquement sur leurs instructions. Nous nous excusons d’avoir fait une erreur dans notre communication d’origine.

A NE PAS MANQUER Inquiétudes suscitées par le programme de divulgation de bogues visant à lutter contre la « machine de propagande » de la Russie

Mickos a tweeté: « Je me suis mal exprimé. Nous redirigeons les récompenses des pirates vers les dons uniquement sur instruction spécifique du pirate. De plus, nous faisons nos propres dons à l’UNICEF à partir des fonds de l’entreprise. Mes excuses pour avoir indiqué cela de manière incorrecte dans le tweet (#11) ci-dessus.

Evans a également déclaré que la plate-forme avait remplacé son organisation caritative Hack for Good par l’UNICEF et « encourage les dons de récompenses (ou d’une partie d’une récompense) comme un moyen d’aider les efforts de secours ».

Dans son fil de tweet original, Mickos a confirmé que HackerOne fermait tous les programmes de récompense de bug bounty dans les pays sanctionnés, mais a déclaré qu’il visait à maintenir les divulgations de vulnérabilité ouvertes, « si les règles et les sanctions le permettent ».

Mickos a ajouté : « Notre objectif est de ne jamais dire non aux rapports de vulnérabilité valides. Ces divulgations rendent le monde numérique plus sûr.