Niebezpiecznik

Hackerone to jedna z platform Bug Bounty, przy pomocy której różne firmy zachęcają pentesterów do atakowania swoich systemów i szukania w nich dziur, oferując w zamian pieniądze. Jeden z pracowników podglądał opisy błędów zgłaszane przez pentesterów, a następnie na ich podstawie sam zgłaszał podatności danej firmie (na innym koncie na platformie lub poza platformą, bezpośrednio).

Sprawa wyszła na jaw w czerwcu, kiedy jedna z firm poprosiła Hackerone o zbadanie zgłoszenia podatności, które wpłynęło do niej poza tą platformą.

Hackerone opublikowało raport w tej sprawie. Reakcja firmy była szybka, w 24 godziny zablokowano “insidera”, który korzystał z nicka “rzlr”. A przez kolejny tydzień ustalono, że podobny numer zrobił w stosunku do 7 innych badaczy bezpieczeństwa.

Ujawnienie raportu z wewnętrznego śledztwa to dobry ruch. Ale firmie mimo to należy się krytyka, bo informacje o tym, że “ktoś” zgłasza te same błędy, które hackerone’owi raportują badacze pojawiały się od lat. I pozostawały bez odpowiedzi. Co prawda nie mógł to być ten sam pracownik, co właśnie przyłapany, bo ten pracował zaledwie od 3 miesięcy.