banner large

Karyawan HackerOne mengakses laporan bug untuk mengklaim hadiah tambahan

Comment
X
Share

Platform hadiah bug terbesar HackerOne mengatakan telah memecat seorang karyawan yang mengambil laporan bug yang diajukan oleh peneliti eksternal dan mengajukan laporan yang sama di tempat lain untuk keuntungan pribadi.

HackerOne adalah salah satu platform bug bounty yang digunakan oleh perusahaan besar dan departemen pemerintah untuk mengelola bug bounty mereka. HackerOne menerima laporan bug dari peretas etis tentang perangkat lunak, dan kemudian secara internal melakukan triase laporan untuk menentukan apakah akan membayar imbalan kepada mereka yang melaporkannya atau tidak.

Ada uang besar yang dipertaruhkan. Pada tahun 2020, HackerOne telah membayar lebih dari $100 juta kepada peserta yang telah melaporkan lebih dari 181.000 kerentanan melalui bounty yang dikelolanya sejak diluncurkan pada 2012. Tahun lalu Zoom, seorang pelanggan HackerOne, membayarkan $1,4 juta melalui bounty yang dikelola HackerOne.

Salah satu pendiri HackerOne dan CISO Chris Evans mengatakan dalam posting blog hari Jumat bahwa mantan karyawan yang sekarang – yang berperan untuk melakukan triase bug untuk berbagai program hadiah pelanggan – telah mengakses laporan keamanan secara tidak benar di beberapa titik antara 4 April dan 22 Juni dan kemudian membocorkan informasi di luar platform HackerOne untuk mengklaim hadiah tambahan di tempat lain.

Karyawan tersebut secara salah menerima hadiah dalam “segelintir pengungkapan”, menurut Evans.

Perusahaan menyelidiki insiden tersebut setelah menerima pelanggan yang mengajukan keluhan pada 22 Juni memintanya untuk menyelidiki “pengungkapan kerentanan mencurigakan yang dibuat di luar platform HackerOne.” Reporter, menggunakan nama “rzlr”, telah menggunakan “komunikasi yang mengancam” tentang pengungkapan kerentanan.

“Pelanggan ini menyatakan skeptis bahwa ini adalah tabrakan asli dan memberikan alasan yang terperinci,” kata Evans.

Evans mengatakan bahwa mantan karyawan secara anonim mengungkapkan informasi kerentanan ini di luar platform HackerOne dengan tujuan untuk mengklaim hadiah tambahan.

“Penyelidikan kami telah menyimpulkan bahwa (sekarang mantan) karyawan HackerOne mengakses data kerentanan pelanggan secara tidak benar untuk mengirimkan kembali kerentanan duplikat kepada pelanggan yang sama untuk keuntungan pribadi,” jelasnya kemudian.

“Ini jelas merupakan pelanggaran terhadap nilai-nilai kami, budaya kami, kebijakan kami, dan kontrak kerja kami. Dalam waktu kurang dari 24 jam, kami bekerja cepat untuk mengatasi insiden tersebut dengan mengidentifikasi karyawan saat itu dan memutus akses ke data. Sejak itu kami telah menghentikan karyawan, dan selanjutnya memperkuat pertahanan kami untuk menghindari situasi serupa di masa depan.”

HackerOne menghentikan akses sistem karyawan dan mengunci laptop mereka dari jarak jauh pada 23 Juni. HackerOne mewawancarai karyawan pada 24 Juni dan 27 Juni “mengambil alih laptop aktor ancaman yang ditangguhkan dan melakukan pencitraan dan analisis forensik jarak jauh.”

Karyawan tersebut, yang memiliki akses sistem sejak 4 April, telah melakukan kontak dengan tujuh pelanggan HackerOne.

HackerOne secara resmi memberhentikan karyawan tersebut pada 30 Juni. Pada 1 Juli, HackerOne telah memberi tahu semua pelanggan yang program bug bounty-nya berinteraksi dengan karyawan tersebut, katanya.

HackerOne mengatakan yakin pengungkapan eksternal itu bukan pekerjaan beberapa ancaman orang dalam, tetapi satu karyawan.

“Ini adalah insiden serius. Kami yakin akses orang dalam sekarang dapat dikendalikan. Ancaman orang dalam adalah salah satu yang paling berbahaya dalam keamanan siber, dan kami siap melakukan segala daya kami untuk mengurangi kemungkinan insiden semacam itu di masa depan,” kata Evans.

Evans mengakui sistem deteksi dan respons HackerOne yang ada tidak secara proaktif mendeteksi ancaman ini. Perusahaan berencana untuk meningkatkan proses penyaringan untuk karyawan, meningkatkan isolasi data dan pencatatan jaringan, dan akan menerapkan simulasi baru untuk menguji apakah dapat mendeteksi ancaman orang dalam.

HackerOne mengumpulkan $49 juta dalam pendanaan pada bulan Januari, sehingga total pendanaannya menjadi $160 juta. Pelanggan termasuk Departemen Pertahanan AS, Dropbox, General Motors, GitHub, Goldman Sachs, Google, Hyatt, Microsoft, Kementerian Pertahanan Singapura, Nintendo, PayPal, Slack, Starbucks, Twitter, dan Yahoo.

Leave a Reply

Your email address will not be published.