Сотрудник HackerOne крал баг-репорты для продажи на стороне

Екатерина Быстрова 04 Июля 2022 - 09:05

...

Сотрудник HackerOne крал баг-репорты для продажи на стороне

Один из сотрудников HackerOne стащил несколько сообщений об уязвимостях, отправленных сторонними исследователями. Недобросовестный работник рассчитывал получить вознаграждение, продав информацию о багах клиентам HackerOne.

Как отметили в компании, служащий связался с полудюжиной организаций. Интересно, что его сдал один из клиентов, обратившийся в HackerOne с просьбой провести расследование в отношении деятельности персонажа под ником “rzlr”.

Озадаченный клиент обратил внимание на то, что rzlr предлагал купить информацию об уязвимости, о которой ранее сообщили через платформу HackerOne. Поскольку эти баг-репорты были абсолютно идентичны, можно было сделать вывод, что rzlr просто украл и присвоил себе чужую работу.

Внутреннее расследование HackerOne выявило несанкционированный доступ одного из служащих к сообщениям о багах. В период с 4 апреля по 23 июня работник связался с семью компаниями, чтобы сообщить об уязвимостях, которые уже были раскрыты через систему HackerOne.

Интересно, что нечестному сотруднику удалось получить вознаграждения за информацию об отдельных проблемах в безопасности. Именно это, кстати, и позволило вычислить злоумышленника — команда HackerOne просто отследила соответствующие денежные переводы.

Проанализировав сетевой трафик служащего, специалисты выявили дополнительные доказательства незаконной деятельности. Менее чем через сутки после начала расследования HackerOne выявила непорядочного сотрудника и закрыла ему доступ к баг-репортам. Сообщается также, что экс-служащий в диалоге с клиентами вёл себя достаточно агрессивно, угрожая и запугивая их.

Несмотря на то что в ходе расследования специалисты не выявили утечки данных об уязвимостях, HackerOne проинформировала лично каждого из затронутых клиентов.

Напомним, что платформа HackerOne ушла из России. Тем не менее появились наши аналоги — от «Киберполигон» и Positive Technologies, например. А на одном из последних эфиров AM Live мы рассказали, как белым хакерам заработать в России на поиске уязвимостей.

Следующая главная новость »

Реальная практика защиты веб-приложений в 2026 году на эфире AM Live, регистрируйтесь по этой ссылке! »

Яков Шпунт 26 Января 2026 - 10:52

Ошибки конфигурации программ Домашние пользователи

Российские пользователи не могут обновить встроенное ПО бытовой техники

Российские пользователи «умной» бытовой техники — в основном европейских брендов — всё чаще сталкиваются с серьёзными проблемами при обновлении встроенного программного обеспечения. В ряде случаев такие устройства вообще не могут полноценно работать без подключения к фирменным облачным сервисам и мобильным приложениям, которые в России оказываются недоступны.

О ситуации сообщил телеграм-канал БОРЩ со ссылкой на сообщения пользователей из тематических чатов и социальных сетей.

Причём речь идёт далеко не о бюджетных устройствах. Проблемы затрагивают дорогие модели стиральных и посудомоечных машин, роботы-пылесосы, водогрейные котлы и другую технику с «умными» функциями, управление которой завязано на мобильные приложения.

Среди наиболее частых жалоб — невозможность обновить прошивку или отсутствие фирменных приложений в официальных магазинах Apple и Google. Один из пользователей, владелец посудомоечной машины Bosch, рассказал, что даже установка приложения через APK-файл или российский магазин не решает проблему: зарегистрировать и активировать его из России не удаётся.

Фактически пользователям приходится запускать приложение с подменой IP-адреса на европейский и создавать фиктивный аккаунт жителя другой страны. При этом из-за особенностей работы такого ПО регистрация и авторизация часто проходят не с первого раза.

Проблемы возникают и с техникой российских брендов. Так, владелец «умного» чайника Polaris сумел стабилизировать работу прошивки, вручную указав в настройках роутера российский сервер. При попытке подключиться к зарубежным ресурсам устройство «зависало» и переставало корректно работать.

В некоторых случаях сбои носят спорадический характер. Например, пользователь водогрейного котла Ariston даже обратился с жалобой в Роскомнадзор после того, как оборудование перестало подключаться к облачному серверу. В регуляторе заявили о своей непричастности, однако спустя некоторое время проблемы исчезли сами собой.

«Санкции ударили туда, куда не ожидал никто», — резюмируют авторы канала БОРЩ.

При этом эксперты отмечают, что куда более серьёзную опасность может представлять использование «умных» устройств для сбора данных — в том числе как одна из форм санкционного давления.