De medewerker van het bug bounty-platform had toegang tot meldingen die bij HackerOne binnenkwamen, en zou deze informatie gebruikt hebben om beloningen op te strijken bij bedrijven.
Het bug bounty-platform HackerOne laat bedrijven toe om hun bug bounties te beheren. Wanneer een ethische hacker kwetsbaarheden meldt aan het platform, gaat HackerOne na wat daar van aan is, en bekijkt het of en hoeveel de hacker voor de melding betaald kan worden. Afhankelijk van de ernst van de kwetsbaarheid, kan dat duizenden tot miljoenen dollars opleveren. Het platform werkt nder meer voor grote bedrijven als Microsoft, Google, Nintendo, PayPal, Slack en Twitter.
Bounty
Maar HackerOne blijkt nu zelf geplaagd door een dreiging in eigen rangen. Het platform meldt op zijn website dat een ondertussen ontslagen werknemer onterecht de securityrapporten van het platform raadpleegde. Hij zou die informatie vervolgens buiten HackerOne aan bedrijven lekken om daar bug bounties op te strijken.
De medewerker, die tussen 4 april en 22 juni toegang had tot de systemen, stond in contact met een zevental bedrijven en zou daar een reeks beloningen hebben geclaimd. De medewerker is ondertussen ontslagen en HackerOne zegt maatregelen te nemen om gelijkaardige incidenten in de toekomst te vermijden.
Fout opgemerkt of meer nieuws? Meld het hier