Werknemer van HackerOne claimde beloningen met gestolen meldingen

Een werknemer van bug bounty-platform HackerOne blijkt bug-meldingen voor eigen gewin te hebben ingezet. De medewerker had toegang tot meldingen die bij HackerOne binnenkwamen, en gebruikte deze informatie om beloningen op te strijken bij bedrijven. De werknemer is inmiddels ontslagen. Ook overweegt HackerOne juridische stappen.

Het platform meldt op zijn website dat op 22 juni een melding is binnengekomen van een klant met het verzoek een verdachte melding van een kwetsbaarheid te onderzoeken. De indiener van deze melding - die buiten het HackerOne-platform omliep - zou intimiderende taal hebben gebruikt in communicatie met een klant van HackerOne. Opvallend was daarnaast dat de melding gelijk was een aan bestaande melding die was ingediend via HackerOne.

HackerOne meldt dat het vaker voorkomt dat meerdere onderzoekers dezelfde kwetsbaarheid melden. In dit geval zetten de klant van HackerOne echter twijfels bij de legitimiteit van deze melding. De melding is daarom onderzocht door het team van HackerOne.

Securityrapporten ingezien

Uit dit onderzoek bleek dat een werknemer securityrapporten heeft ingezien en gebruikt voor persoonlijk gewin. "De persoon heeft deze kwetsbaarheidsinformatie anoniem bekendgemaakt buiten het HackerOne-platform met als doel aanvullende premies te claimen. Dit is een duidelijke schending van onze waarden, onze cultuur, ons beleid en onze arbeidscontracten", schrijft HackerOne in de verklaring.

De werknemer is inmiddels ontslagen. Ook meldt HackerOne maatregelen te hebben genomen om herhaling van het incident te voorkomen. Daarnaast overweegt het platform juridische stappen tegen de werknemer.