Un employé de la plate-forme de bug bounty HackerOne a volé des rapports soumis par des utilisateurs et a divulgué les informations aux fournisseurs concernés, parfois en échange d’une récompense financière.
Dans un article de blog (s’ouvre dans un nouvel onglet)l’entreprise a révélé les détails de l’incident, qui s’est déroulé sur environ trois mois, et a confirmé que l’employé avait depuis été licencié.
HackerOne envisage toujours de poursuivre ou non une action en justice pénale, BipOrdinateur signalé.
Des rapports identiques qui font sourciller
Début avril, HackerOne a recruté un nouvel employé qui, en raison de son poste, avait accès aux rapports de bogues. Ces rapports mettent en évidence les vulnérabilités de divers logiciels et services qui pourraient être exploités par des cybercriminels pour voler des mots de passe et d’autres informations sensibles, distribuer des logiciels malveillants, etc.
Dès le début, l’individu a commencé à recueillir des rapports et, sous un faux nom, à contacter les entreprises concernées, souvent sur un ton menaçant et intimidant, a déclaré HackerOne.
L’employé exigerait alors un paiement en échange de la divulgation de la vulnérabilité et, dans certains cas, obtiendrait même ce qu’il voulait.
HackerOne a été alerté de la fraude potentielle lorsqu’un de ses clients concernés a contacté pour dire qu’une autre personne avait « découvert » une faille identique. Bien que les découvertes en double dans la chasse aux bogues ne soient pas rares, ce cas particulier était identique à un point tel qu’il a suscité des soupçons, a déclaré la société.
En collaboration avec des fournisseurs de paiement, HackerOne a pu suivre l’argent et a rapidement découvert que l’un de ses propres employés était à l’origine du stratagème.
Peu de temps après, il a interdit à l’employé d’accéder au système et a verrouillé à distance son ordinateur portable, dans l’attente d’une enquête. L’enquête a montré tous les rapports de bogues auxquels la personne avait eu accès, incitant l’entreprise à contacter à la fois les pirates découvrant les bogues et les entreprises concernées.
La société a également déclaré que tous les rapports de bogues auxquels la personne avait accédé n’avaient pas été abusés. Dans certains cas, l’accès était à des fins légitimes.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)