Koordinasi kerentanan dan platform bug bounty HackerOne pada hari Jumat mengungkapkan bahwa seorang mantan karyawan di perusahaan tersebut secara tidak benar mengakses laporan keamanan yang dikirimkan kepadanya untuk keuntungan pribadi.

“Orang tersebut secara anonim mengungkapkan informasi kerentanan ini di luar platform HackerOne dengan tujuan mengklaim hadiah tambahan,” katanya. “Dalam waktu kurang dari 24 jam, kami bekerja cepat untuk mengatasi insiden tersebut dengan mengidentifikasi karyawan saat itu dan memutus akses ke data.”

Karyawan tersebut, yang memiliki akses ke sistem HackerOne antara 4 April dan 23 Juni 2022, karena melakukan triase pengungkapan kerentanan yang terkait dengan program pelanggan yang berbeda, telah dihentikan oleh perusahaan yang bermarkas di San Francisco pada 30 Juni.

Menyebut insiden itu sebagai “pelanggaran yang jelas” terhadap nilai, budaya, kebijakan, dan kontrak kerjanya, HackerOne mengatakan telah diberitahu tentang pelanggaran pada 22 Juni oleh pelanggan yang tidak disebutkan namanya, yang memintanya untuk “menyelidiki pengungkapan kerentanan yang mencurigakan” melalui komunikasi off-platform dari seorang individu dengan pegangan “rzlr” menggunakan bahasa “agresif” dan “mengintimidasi”.

Selanjutnya, analisis data log internal yang digunakan untuk memantau akses karyawan ke pengungkapan pelanggan melacak eksposur ke orang dalam yang nakal, yang tujuannya, dicatat, adalah untuk mengirimkan kembali laporan kerentanan duplikat ke pelanggan yang sama menggunakan platform untuk menerima pembayaran moneter.

Halaman:
1 2