موظف في موقع hackerone الشهير المختص في مكافأة الثغرات BugBounty كان يقوم بستغلال التبليغ عن ثغرات في الانظمة لتحقيق مكاسب شخصية

موقع Hackerone هو موقع مختص في مكافأة الباحثين الامنيين عند ايجادهم ثغرات في انظمة شركات مسجلة في هذه المنصة. ويعتبر من اشهر المواقع عالميا في مكافأة صائدي الثغرات. يعمل الموقع كوسيط بين الشركات (العملاء) و بين الباحثين الامنيين. 

مؤخرا تم الكشف عن ان موظف في منصة hackerone كان لديه وصول غير صحيح إلى التقارير الأمنية المقدمة لتحقيق مكاسب شخصية.

تقول شركة hackerone  ان الموظف عمد على سرقة التقارير و تقدميها خارج المنصة لشركات لغايات كسب مادي, حيث اضافت "عملنا بسرعة لاحتواء الحادث من خلال تحديد الموظف آنذاك وقطع الوصول إلى البيانات".

الموظف ، الذي كان له حق الوصول إلى أنظمة HackerOne بين 4 أبريل و 23 يونيو 2022 ، لفرز الكشف عن الثغرات الأمنية المرتبطة ببرامج العملاء المختلفة ، تم إنهاؤه منذ ذلك الحين من قبل الشركة في 30 يونيو.

 ووصفت HackerOne الحادث بأنه "انتهاك واضح" لقيمها وثقافتها وسياساتها وعقود العمل ، وقالت إنها تلقت تنبيهًا إلى الانتهاك في 22 يونيو من قبل عميل لم يذكر اسمه ، والذي طلب منها "التحقيق في الكشف عن ثغرة مريبة" من خلال اتصال خارج النظام الأساسي من فرد يسمي نفسه "rzlr" والذي قام باستخدام لغة "عدوانية" و "مخيفة".

بعد ذلك ، تتبع تحليل بيانات السجل الداخلي المستخدمة لمراقبة وصول الموظفين إلى تبليغات الباحثين الامنين:، حيث عمد هذا الموظف على الرد على التبليغات بانها تبليغات مكررة، اي ان هنالك باحث امني سابق قام بالتبليغ عن هذه الثغرة وهي قيد المعالجة حاليا. في حين كان يستغل هذه الثغرة لتبليغ الشركة للحصول على عوائد مالية. 

"أنشأ ممثل التهديد حساب مزيف لغاية الخداع على منصة hackerone وحصل على مكافآت في عدد قليل من البلاغات" ، حيث ان أن سبعة من عملاء الشركة تلقوا اتصالًا مباشرًا من هذا الحساب.

من خلال تتبع الدفعات المالية، تبين ان الحساب البنكي هو ملك لموظف داخل شركة hackerone. من خلال تحليل بيانات الموظف داخل الشركة , بالمقارنة مع بيانات التبليغ عن ثغرات تبين ان حساب الموظف هو يمتلك الحساب المزيف الذي تم انشاءه لغاية الخداع. 

قالت شركة HackerOne أيضًا إنها أخطرت العملاء بشكل فردي بشأن تقارير الثغرات  التي تم الوصول إليها من قبل الموظف إلى جانب وقت الوصول ، مع التأكيد على أنها لم تجد أي دليل على إساءة استخدام الثغرات الأمنية أو الوصول إلى معلومات العملاء الأخرى.

علاوة على ذلك ، أشارت الشركة إلى أنها تهدف إلى تنفيذ آليات سجلات وصول إضافية لتحسين الاستجابة للحوادث ، وعزل البيانات لتقليل "الخطر الذي يمكن ان تسببه مشكلة واحدة" ، وتعزيز العمليات الموجودة لتحديد الوصول غير الطبيعي والكشف بشكل استباقي عن التهديدات الداخلية