Сотрудник HackerOne крал баг-репорты для продажи на стороне

Екатерина Быстрова 04 Июля 2022 - 09:05

...

Сотрудник HackerOne крал баг-репорты для продажи на стороне

Один из сотрудников HackerOne стащил несколько сообщений об уязвимостях, отправленных сторонними исследователями. Недобросовестный работник рассчитывал получить вознаграждение, продав информацию о багах клиентам HackerOne.

Как отметили в компании, служащий связался с полудюжиной организаций. Интересно, что его сдал один из клиентов, обратившийся в HackerOne с просьбой провести расследование в отношении деятельности персонажа под ником “rzlr”.

Озадаченный клиент обратил внимание на то, что rzlr предлагал купить информацию об уязвимости, о которой ранее сообщили через платформу HackerOne. Поскольку эти баг-репорты были абсолютно идентичны, можно было сделать вывод, что rzlr просто украл и присвоил себе чужую работу.

Внутреннее расследование HackerOne выявило несанкционированный доступ одного из служащих к сообщениям о багах. В период с 4 апреля по 23 июня работник связался с семью компаниями, чтобы сообщить об уязвимостях, которые уже были раскрыты через систему HackerOne.

Интересно, что нечестному сотруднику удалось получить вознаграждения за информацию об отдельных проблемах в безопасности. Именно это, кстати, и позволило вычислить злоумышленника — команда HackerOne просто отследила соответствующие денежные переводы.

Проанализировав сетевой трафик служащего, специалисты выявили дополнительные доказательства незаконной деятельности. Менее чем через сутки после начала расследования HackerOne выявила непорядочного сотрудника и закрыла ему доступ к баг-репортам. Сообщается также, что экс-служащий в диалоге с клиентами вёл себя достаточно агрессивно, угрожая и запугивая их.

Несмотря на то что в ходе расследования специалисты не выявили утечки данных об уязвимостях, HackerOne проинформировала лично каждого из затронутых клиентов.

Напомним, что платформа HackerOne ушла из России. Тем не менее появились наши аналоги — от «Киберполигон» и Positive Technologies, например. А на одном из последних эфиров AM Live мы рассказали, как белым хакерам заработать в России на поиске уязвимостей.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 04 Июля 2025 - 12:48

Windows Уязвимости программ Домашние пользователи Microsoft

Срочно обновляем Microsoft Edge — уязвимость в Chromium уже на мушке

Разработчики Microsoft выпустили внеплановое обновление для браузера Edge на основе Chromium. Сборка 138.0.3351.65 содержит патчи для двух опасных уязвимостей; одну из них злоумышленники уже используют в атаках.

Обе проблемы классифицируются как «путаница типов данных» и при эксплуатации позволяют удаленно выполнить любой код в целевой системе.

Уязвимость CVE-2025-6554 обнаружил в JavaScript-движке V8 эксперт Google. Эксплойт осуществляется с помощью специально созданного сайта; в случае успеха автор атаки получает доступ на чтение/запись к произвольным ячейкам памяти.

В связке с другими уязвимостями это может привести к выходу за пределы песочницы, краже данных или выполнению вредоносного кода. Уровень угрозы в Google оценили в 8,1 балла по CVSS (как высокий); патч для Chrome вышел несколько дней назад.

Уязвимость CVE-2025-49713 (8,8 балла CVSS) актуальна лишь для Microsoft Edge. Злоумышленник сможет удаленно выполнить свой код, если ему удастся заставить пользователя открыть вредоносное вложение либо совершить переход по ссылке, присланной по имейл или в мессенджере.

Успешный эксплойт позволяет внедрить в систему зловреда, украсть учетные данные, а также развить атаку в корпоративной сети.