5/7/2022
Hackerone to jedna z platform Bug Bounty, przy pomocy której różne firmy zachęcają pentesterów do atakowania swoich systemów i szukania w nich dziur, oferując w zamian pieniądze. Jeden z pracowników podglądał opisy błędów zgłaszane przez pentesterów, a następnie na ich podstawie sam zgłaszał podatności danej firmie (na innym koncie na platformie lub poza platformą, bezpośrednio).
Sprawa wyszła na jaw w czerwcu, kiedy jedna z firm poprosiła Hackerone o zbadanie zgłoszenia podatności, które wpłynęło do niej poza tą platformą.
Hackerone opublikowało raport w tej sprawie. Reakcja firmy była szybka, w 24 godziny zablokowano “insidera”, który korzystał z nicka “rzlr”. A przez kolejny tydzień ustalono, że podobny numer zrobił w stosunku do 7 innych badaczy bezpieczeństwa.
Ujawnienie raportu z wewnętrznego śledztwa to dobry ruch. Ale firmie mimo to należy się krytyka, bo informacje o tym, że “ktoś” zgłasza te same błędy, które hackerone’owi raportują badacze pojawiały się od lat. I pozostawały bez odpowiedzi. Co prawda nie mógł to być ten sam pracownik, co właśnie przyłapany, bo ten pracował zaledwie od 3 miesięcy.
@Hackerone
“You Had One Job…”
Tyle platform zonglujacych ogolnie pojetymi pomyslami i dosc wrazliwa wartoscia intelektualna (bo kto uwierzy piratowi ze wersje avengersow ktora rozpowszechnial sam nakrecil i przypadkiem wyszlo identycznie) a ktora olala podstawowe zabezpieczenia? Oczywiscie ta zajmujaca sie bezpieczenstwem…