l+f: Bug-Bounty-Insider kassiert ab
Auch Cybersecurity-Unternehmen sind nicht vor internen kriminellen Machenschaften gefeit.
(Bild: Oleksiy Mark/Shutterstock.com)
Ein Angestellter der Bug-Bounty-Plattform Hackerone konnte der Versuchung nicht widerstehen und hat interne Reports zu Sicherheitslücken eigenhändig an Kunden weitergeleitet, um Belohnungen einzustreichen.
Hackerone ist eine Bug-Bounty-Plattform, bei der Sicherheitsforscher entdeckte Schwachstellen einreichen können. Erfüllen die gefundenen Sicherheitslücken die Meldekriterien, bekommen sie eine Geldprämie. Je nach Schweregrad der Lücke können das durchaus mehrere tausend US-Dollar sein.
Einem Statement der Plattform zufolge soll das im Zuge der Kommunikation mit einem Kunden aufgeflogen sein, weil eine Lücke mit einem identischen Bericht doppelt gemeldet wurde. Der interne Täter soll innerhalb von etwas mehr als zwei Monaten sieben Firmen kontaktiert, mit aggressivem Ton unter Druck gesetzt und dann abkassiert haben. Aufgrund der Rückverfolgung der Zahlungstransaktionen konnte Hackerone den Mitarbeiter ausfindig machen. Im Anschluss sperrten sie ihm den Zugriff und Laptop.
lost+found
Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.
Alle l+f Meldungen in der Übersicht
(des)
