0
0
A HackerOne demitiu um de seus funcionários por coletar recompensas de bugs de seus clientes depois de alertá-los sobre vulnerabilidades em seus produtos – bugs que haviam sido encontrados por outros pesquisadores e divulgados em particular à HackerOne por meio de seu programa coordenado de divulgação de vulnerabilidades.
A HackerOne descobriu a alcaparra quando um de seus clientes pediu à organização para investigar uma divulgação de vulnerabilidade que foi feita fora da plataforma HackerOne em junho. O cliente, assim como outros clientes de programas de recompensa de bugs, usa o HackerOne para coletar e relatar vulnerabilidades em seus produtos que pesquisadores de segurança independentes podem ter descoberto. Em troca, a empresa paga uma recompensa — ou recompensa por bugs — por vulnerabilidades relatadas.
Neste caso, o cliente do HackerOne disse que um indivíduo anônimo entrou em contato com eles sobre uma vulnerabilidade que era muito semelhante a outro bug em sua tecnologia que um pesquisador havia enviado anteriormente através da plataforma HackerOne.
Colisões de bugs — em que dois ou mais pesquisadores podem descobrir independentemente a mesma vulnerabilidade — não são incomuns. “No entanto, esse cliente expressou ceticismo de que esta foi uma colisão genuína e forneceu um raciocínio detalhado”, disse HackerOne em um relatório resumindo o incidente. O cliente descreveu o indivíduo — que usou a alça “rzlr” — como usando linguagem intimidante na comunicação de informações sobre a vulnerabilidade, disse HackerOne.
Insider Malicioso
A investigação da empresa sobre a dica de 22 de junho de 2022 apontou quase imediatamente que vários clientes provavelmente estavam sendo contatados da mesma maneira. Os pesquisadores do HackerOne começaram a pesquisar todos os cenários em que alguém poderia ter obtido acesso aos seus dados de divulgação de vulnerabilidades: se alguém poderia ter comprometido um de seus sistemas, obtido acesso remoto de alguma outra maneira ou se a divulgação resultou de uma configuração incorreta. Os dados rapidamente apontaram para o ator da ameaça ser um informante com acesso aos dados de vulnerabilidade.
Os investigadores do HackerOne analisaram seus dados de registro sobre o acesso dos funcionários às divulgações de vulnerabilidades e descobriram que apenas um funcionário acessou cada uma das divulgações que os clientes relataram como suspeitas. “Dentro de 24 horas da dica do nosso cliente, tomamos medidas para encerrar o acesso ao sistema desse funcionário e bloquear remotamente seu laptop enquanto se aguarda uma investigação mais aprofundada”, disse HackerOne.
A empresa descobriu que o ex-funcionário criou uma conta fictícia do HackerOne e coletou recompensas por um punhado de divulgações. A HackerOne trabalhou com os provedores de pagamento relevantes em cada instância para confirmar que as recompensas foram pagas em uma conta bancária conectada ao ex-funcionário. Ao analisar o tráfego de rede do indivíduo, os investigadores também conseguiram vincular a conta fictícia à conta principal do HackerOne do ex-funcionário.
Minando a Confiança
Mike Parkin, engenheiro técnico sênior da Vulcan Cyber, diz que incidentes como esse podem minar a confiança que é a chave para o sucesso de programas de divulgação de vulnerabilidades de crowdsourced, como o que o HackerOne gerencia. “A confiança é um grande fator na pesquisa de vulnerabilidades e pode desempenhar um papel importante em muitos programas de recompensa de bugs“, diz Parkin. “Então, quando alguém efetivamente rouba o trabalho de outro pesquisador e o apresenta como seu, essa confiança fundamental pode ser esticada.”
Parkin elogiou o HackerOne por ser transparente e agir rapidamente para lidar com a situação. “Espero que este incidente não afete o ecossistema de pesquisa de vulnerabilidades em geral, mas pode levar a revisões mais profundas das submissões de recompensas de bugs daqui para frente”, diz ele.
HackerOne disse que o ex-funcionário — que começou apenas em 4 de abril — se comunicou diretamente com um total de sete de seus clientes. Ele pediu a todos os outros clientes que pudessem ter sido contatados por um indivíduo usando a alça rzlr a entrar em contato com a empresa imediatamente, especialmente se a comunicação tivesse sido agressiva ou de tom ameaçadora.
A empresa também tranquilizou os hackers que se inscreveram na plataforma de que sua elegibilidade para quaisquer recompensas que pudessem receber para divulgações de vulnerabilidades não foi afetada negativamente. “Todas as divulgações feitas pelo ator da ameaça foram consideradas duplicatas. As recompensas aplicadas a essas submissões não afetaram as submissões originais.”
HackerOne disse que entraria em contato com hackers cujos relatórios o ex-funcionário poderia ter acessado e tentado reenviar. “Desde a fundação do HackerOne, honramos nosso firme compromisso de divulgar incidentes de segurança porque acreditamos que o compartilhamento de informações de segurança é essencial para a construção de uma Internet mais segura”, disse a empresa.
Após o incidente, a HackerOne identificou várias áreas em que planeja reforçar os controles. Isso inclui melhorias em seus recursos de registro, adição de funcionários para monitorar ameaças internas, melhorar suas práticas de triagem de funcionários durante o processo de contratação e controles para isolar dados para limitar danos causados por incidentes desse tipo.
Jonathan Knudsen, chefe de pesquisa global do Centro de Pesquisa em Segurança Cibernética Synopsys, diz que a decisão da HackerOne de se comunicar claramente sobre o incidente e sua resposta a ele é um exemplo de como as organizações podem limitar os danos. “Os incidentes de segurança são muitas vezes vistos como embaraçosos e irredeemáveis”, diz ele.
Mas ser completamente transparente sobre o que aconteceu pode aumentar a credibilidade e conquistar o respeito dos clientes. “A HackerOne aceitou um incidente de ameaça interna e respondeu de uma maneira que tranquiliza os clientes de que eles levam a segurança muito a sério, são capazes de responder de forma rápida e eficaz e estão continuamente examinando e melhorando seus processos”, diz Knudsen.
FONTE: DARK READING