HackerOne a annoncé le licenciement d’un employé qui dérobait des rapports de bugs soumis par des chercheurs externes et les déposait sur d’autres plateformes pour son profit personnel.
La rançon de la gloire
HackerOne, c’est l’une des plateformes vers laquelle se tournent les grandes entreprises et les services gouvernementaux pour gérer leurs programmes de bug bounty. Elle reçoit des rapports de bugs sur des logiciels de la part de chercheurs en sécurité, puis les trie en interne pour déterminer s’il convient ou non de verser des récompenses à ceux qui les signalent.
Et il y a beaucoup d’argent en jeu. En 2020, HackerOne a en effet versé plus de 100 millions de dollars à ses participants – qui ont signalé plus de 181 000 vulnérabilités par le biais des primes gérées depuis son lancement en 2012. L’année dernière, Zoom, un client de HackerOne, a même versé 1,4 million de dollars par le biais des programmes gérés par HackerOne.
Chris Evans, cofondateur et RSSI de HackerOne, racontait vendredi dans un billet de blog que l’ancien employé, dont le rôle était de trier les rapports de bugs pour de nombreux programmes de bug bounty, avait accédé de manière inappropriée à des rapports de sécurité entre le 4 avril et le 22 juin. Ce dernier a ensuite divulgué des informations en dehors de la plateforme HackerOne pour réclamer des primes supplémentaires. Et dans quelques cas, « une poignée » selon Chris Evans, cela a marché puisque l’employé en question a reçu des compensations financières.
Le bug et l’argent du bug
L’enquête ayant mené au licenciement d’un employé fait suite à une plainte d’un client reçu le 22 juin dernier. Cette dernière mentionnait « un signalement de vulnérabilité suspect fait en dehors de la plateforme HackerOne ». Le chercheur à l’origine du signalement, utilisant le nom « rzlr », aurait utilisé une « communication menaçante » au sujet de la divulgation de la vulnérabilité.
« Ce client a exprimé son scepticisme quant au fait qu’il s’agissait d’une véritable coïncidence et a fourni un raisonnement détaillé », indique Chris Evans. « Notre enquête a conclu qu’un (désormais ancien) employé de HackerOne a indûment accédé aux données de vulnérabilité de clients pour soumettre des vulnérabilités dupliquées à ces mêmes clients pour un gain personnel. »
« Il s’agit d’une violation claire de nos valeurs, de notre culture, de nos politiques et de nos contrats de travail. En moins de 24 heures, nous avons travaillé rapidement pour contenir l’incident en identifiant l’employé et en lui coupant l’accès aux données. Nous avons depuis licencié l’employé et renforcé nos défenses afin d’éviter des situations similaires à l’avenir. »
L’employé a été licencié
HackerOne a coupé les accès au système de l’employé et a verrouillé à distance son ordinateur portable le 23 juin. L’entreprise a interrogé l’employé le 24 juin et, le 27 juin, elle a « pris possession de l’ordinateur portable de l’acteur malveillant suspendu et a effectué une imagerie et une analyse à distance ».
L’employé, qui avait accès au système depuis le 4 avril, avait été en contact avec sept clients de HackerOne. HackerOne a officiellement licencié l’employé le 30 juin. Le 1er juillet, HackerOne avait notifié tous les clients dont les programmes de bug bounty avaient été en lien avec l’employé.
HackerOne se dit convaincu que les différentes divulgations étaient le fait d’un seul employé.
HackerOne revoit ses méthodes
« Il s’agit d’un incident grave. Nous sommes convaincus que l’accès interne est désormais maîtrisé. Les délits d’initiés sont l’une des menaces les plus insidieuses en matière de cybersécurité, et nous sommes prêts à faire tout ce qui est en notre pouvoir pour réduire la probabilité de tels incidents à l’avenir », fait valoir Chris Evans.
Ce dernier admet que les systèmes de détection et de réponse existants de HackerOne n’ont pas détecté cette menace de manière proactive. L’entreprise prévoit de renforcer son processus de sélection des employés, d’améliorer l’isolation des données et la journalisation du réseau, et de mettre en œuvre de nouvelles simulations pour tester sa capacité à détecter les menaces internes.
Pour rappel, HackerOne a levé 49 millions de dollars de fonds en janvier, ce qui porte son financement total à 160 millions de dollars. Parmi ses clients figurent le ministère américain de la Défense, Dropbox, General Motors, GitHub, Goldman Sachs, Google, Hyatt, Microsoft, le ministère de la Défense de Singapour, Nintendo, PayPal, Slack, Starbucks, Twitter et Yahoo.
Source : ZDNet.com
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));