hacker one
Image Credit: Eclipse Images, iStock

Een medewerker van het cybersecurityplatform HackerOne stal gegevens van kwetsbaarmeldingen om de bugbounty’s te kunnen opeisen.

Ethische hackers kunnen in ruil voor een vergoeding (‘bugbounty’) kwetsbaarheden in de netwerken van bedrijven melden bij HackerOne, dat als mediator optreedt tussen de hackers en de bedrijven. Via het platform werden al meer dan 400 kwetsbaarmeldingen opgelost. Maar nu heeft HackerOne zelf met een incident te maken gekregen. Een inmiddels ex-werknemer van het bedrijf ging aan de haal met kwetsbaarmeldingen om de bugbounty’s zelf op te eisen bij de bedrijven.

Lees ook: Bedrijven willen niet samenwerken met bedrijf dat slachtoffer werd van datalek

Bugbounty opeisen

In een blog beschrijft HackerOne hoe de werknemer, die acteerde onder het pseudoniem ‘rzlr’, te werk ging. Via zijn functie had rzlr toegang tot de details van binnenkomende kwetsbaarmeldingen. Die gegevens zou hij gekopieerd hebben om de bedrijven in kwestie zelf te benaderen. Zo wilde hij de bedrijven overtuigen dat hij de ontdekker was van de kwetsbaarheid zodat de bedrijven de bugbounty aan hem zouden betalen. Volgens HackerOne zouden enkele bedrijven daar ook op zijn ingegaan.

De malafide praktijken kwamen op 22 juni aan het licht door een klant die wantrouwig was na het initiële contact met rlzr. Ze vielen vooral over de agressieve en dreigende toon die de werknemer hanteerde. Na een intern onderzoek wist HackerOne de schuldige te identificeren. Die werd per direct op straat gezet. HackerOne belooft in de toekomst nieuwe kandidaten beter te screenen en wil ook meer mensen aannemen om interne verdachte activiteiten sneller te kunnen opsporen om dergelijke incidenten in de toekomst te vermijden.

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here