Meghackelték a hackereket

A HackerOne arról adott tájékoztatást, hogy az egyik alkalmazottja bizalmas adatokhoz fért hozzá, és azokkal visszaélve ügyfeleket is megtévesztett.
 

A HackerOne az egyik legismertebb hibavadász platform. A célja, hogy az etikus hackerek, illetve a sérülékenységek után kutakodó szakemberek bejelentéseit fogadja, és egy minősítési eljárást követően díjazásban részesítse a biztonsági rések felfedezőit. A bejelentett sebezhetőségekről pedig tájékoztatja az ügyfeleit (leginkább szoftverfejlesztő cégeket), így a hibák még azelőtt orvosolhatóvá válhatnak, mielőtt azok illetéktelen kezekbe kerülnének.
 
Nyilvánvalóan a HackerOne üzemeltetőinek is résen kell lenniük, hiszen ha a saját platformjuk kompromittálódik, akkor abból komoly problémák lehetnek. A legutóbbi hírek szerint sajnos az elmúlt hetekben, hónapokban történtek is olyan nemkívánatos események, amelyekre csak lassan derült fény.
 
Kiderült, hogy az egyik áprilisban felvett alkalmazott olyan adatbázisokhoz is hozzáférést szerzett, amikhez nem feltétlenül lett volna szüksége a munkájához. Ezzel pedig a munkavállaló visszaélt. Úgy gondolta, hogy a sebezhetőségek felfedezői helyett inkább ő aratja le a babérokat, pontosabban, ő szedi be a jutalmat. Ennek érdekében az elmúlt két hónapban a HackerOne hét ügyfelét környékezte meg, akik számára olyan sérülékenységi jelentéseket küldött ki, amik már fent voltak a HackerOne-on. Ez azért nem feltétlenül szúrt szemet, mert viszonylag gyakori jelenség, hogy egy-egy sebezhetőséget közel egy időben többen is jeleznek. A bennfentes alkalmazott azonban addig ügyeskedett, amíg több esetben egy általa létrehozott profil kapta az elismerést, és ezzel együtt a pénzjutalmat.
 
A HackerOne a történtek felismerését követően azonnal megszüntette az alkalmazott hozzáférését a rendszereihez, majd a munkavállaló notebookját távolról zárolta, és forensic vizsgálatoknak vetette alá. Azt pedig talán mondani sem kell, hogy a túlbuzgó alkalmazott már nem tartozik a HackerOne kötelékéhez.
 
A HackerOne most azon dolgozik, hogy kibogozza a történteket, és az ügyben érintett sebezhetőségeket elsőként bejelentő etikus hackereket kárpótolja, illetve eljuttassa számukra a kiérdemelt jutalmukat.
 
A HackerOne nyíltsága természetesen nem véletlen, hiszen olyan bizalmi szolgáltatást nyújt, amelyen, ha csorba esik, akkor azt nagyon nehéz kiköszörülni. Azt egyelőre nem lehet tudni, hogy a mostani esetnek milyen következményei lesznek ilyen szempontból.
 
  1. 3

    Az Oracle 71 hibajavítást adott ki az Oracle Linux operációs rendszerhez.

  2. 4

    Több mint egy tucat biztonsági javítással bővült a Google Chrome.

  3. 4

    Letölthető a VirtualBox legújabb kiadása benne 13 biztonsági javítással.

  4. 4

    Az Oracle nyolc olyan biztonsági résről számolt be, amelyeket a Database Server kapcsán kellett orvosolnia.

  5. 4

    A MySQL három tucat biztonsági frissítéssel gyarapodott.

  6. 4

    Az Java több mint egy tucat biztonsági frissítést kapott.

  7. 3

    A Microsoft három biztonsági rést foltozott be az Edge webböngészőn.

  8. 4

    A PuTTY-hoz egy biztonsági frissítés vált elérhetővé.

  9. 4

    A XenServer és a Citrix Hypervisor is biztonsági frissítéseket kapott.

  10. 3

    A GitLab újabb biztonsági javításokat adott ki.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség