HackerOne a divulgué les détails d’un incident impliquant un ancien employé qui, selon lui, a accédé à des données internes à des fins financières personnelles.
L’individu anonyme a obtenu des informations à partir de rapports de sécurité soumis à la plate-forme de primes de bogues et a tenté de divulguer les mêmes vulnérabilités en dehors de la plate-forme.
Il a eu accès aux données du 4 avril au 23 juin 2022, selon Hacker One.
Découvertes suspectes
HackerOne a été alerté du problème le 22 juin 2022 par un client suspect qui avait reçu des rapports de bugs en double de la plateforme et de l’individu.
« Les collisions de bogues et les doublons, où plusieurs chercheurs en sécurité découvrent indépendamment une seule vulnérabilité, se produisent couramment sur les plates-formes de primes de bogues », a expliqué HackerOne dans un communiqué.
« Cependant, ce client a exprimé son scepticisme quant à la véritable collision et a fourni un raisonnement détaillé. L’équipe de sécurité de HackerOne a pris ces allégations au sérieux et a immédiatement ouvert une enquête. »
L’auteur de cette divulgation hors plateforme « aurait utilisé un langage intimidant dans la communication avec notre client », a déclaré HackerOne, qui a confirmé que l’objectif de l’acteur était de réclamer des primes supplémentaires.
« Il s’agit d’une violation flagrante de nos valeurs, de notre culture, de nos politiques et de nos contrats de travail », a déclaré la plateforme.
« En moins de 24 heures, nous avons travaillé rapidement pour contenir l’incident en identifiant l’employé de l’époque et en coupant l’accès aux données.
« Nous avons depuis licencié l’employé et renforcé nos défenses pour éviter des situations similaires à l’avenir. »
HackerOne a également déclaré que sous réserve d’un examen avec un avocat, il décidera également si le renvoi pénal de cette affaire est approprié.
Conséquences
Un porte-parole de HackerOne a déclaré : « Depuis la création de HackerOne, nous avons honoré notre engagement inébranlable à divulguer les incidents de sécurité car nous pensons que le partage des informations de sécurité est essentiel pour construire un Internet plus sûr.
« Chez HackerOne, nous apprécions les relations de confiance avec nos clients et la communauté des hackers. Il est important pour nous de continuer à faire preuve de transparence en tant que locataire principal de la responsabilité de la sécurité de l’entreprise et c’est pourquoi nous avons partagé ce rapport d’incident. »
Le porte-parole a ajouté : « Notre code de conduite jette les bases de l’établissement de la confiance. Nous continuerons à donner la priorité à la divulgation coordonnée et à agir rapidement pour nous assurer que nous respectons ces normes strictes. »