Un empleado de HackerOne había accedido indebidamente a los informes de vulnerabilidad enviados a la plataforma por los investigadores de seguridad para beneficio personal. El empleado tomó estos informes de forma anónima, los modificó un poco y reveló estas vulnerabilidades fuera de la plataforma HackerOne directamente al cliente con el objetivo de reclamar una recompensa por las vulnerabilidades.
La investigación comenzó después de que un cliente de HackerOne notificó a la empresa que supuestamente había recibido una comunicación amenazante, fuera de la plataforma, sobre la divulgación de una vulnerabilidad. Tras el informe, la empresa inició una investigación. Durante la investigación surgieron pruebas adicionales que les hicieron escalar la prioridad del incidente. La empresa consideró todos los escenarios de una posible exposición a la divulgación de datos, incluida la posible explotación de una aplicación, un compromiso remoto por parte de un actor de amenazas, un cliente o un analista, una fuga por mala configuración y otros. Después de la investigación, la empresa concluyó que esto fue obra de un actor de amenaza interno.
Tras este descubrimiento, la empresa inició una investigación por separado sobre la amenaza interna con un grupo contenido. Una amenaza interna es un riesgo de seguridad que se origina dentro de la organización objetivo. Por lo general, involucra a un empleado o socio comercial actual o anterior que tiene acceso a información confidencial o cuentas privilegiadas dentro de la red de una organización, y que hace un mal uso de este acceso. Las medidas de seguridad tradicionales tienden a centrarse en las amenazas externas y no siempre son capaces de identificar una amenaza interna que emana del interior de la organización. El equipo de investigación quería asegurarse de que no hubiera múltiples amenazas internas o empleados. Como múltiples clientes y múltiples detalles de vulnerabilidades fueron reclamados.
La empresa pudo llegar a conclusión utilizando los siguientes métodos. Su registro interno supervisa el acceso de los empleados a las divulgaciones de los clientes para las operaciones comerciales regulares, es decir, la admisión y clasificación de vulnerabilidades. El análisis de estos datos de registro sugirió un probable actor de amenazas. Solo un empleado había accedido a cada divulgación que clientes sospechaban que el actor de amenazas había vuelto a divulgar.
Este mismo actor de amenazas creó una cuenta falsa de HackerOne y recibió recompensas en diferentes revelaciones. Después de identificar estas recompensas como probablemente inapropiadas, HackerOne se comunicó con los proveedores de pagos relevantes, quienes trabajaron en cooperación con la empresa para proporcionar información adicional. Siguiendo el rastro del dinero, la compañía recibió la confirmación de que la recompensa del actor de amenazas estaba vinculada a una cuenta que beneficiaba financieramente a un empleado de HackerOne. El análisis del tráfico de red del actor de amenazas proporcionó evidencia complementaria que conectaba las cuentas principal y falsa del actor de amenazas.
La empresa identificó a siete clientes que recibieron comunicación directa del actor de amenazas. A cada uno de los clientes de la investigación se le solicitó información relacionada con sus interacciones. Los hechos compartidos de las investigaciones de los clientes corroboraron la conclusión de la investigación.
La compañía ha emitido prohibiciones de plataforma para las cuentas HackerOne conocidas del empleado. El empleado ha sido despedido por violar las políticas de la empresa y los contratos de trabajo. Sujeto a revisión con un abogado, la compañía decidirá si la remisión penal de este asunto es apropiada. La empresa aún está realizando análisis forenses de los registros producidos y los dispositivos utilizados por el exempleado. La compañía se está comunicando con otras plataformas de recompensas para compartir detalles en caso de que sus clientes reciban comunicaciones similares de “rzlr”. Los motivos del actor de amenaza parecen ser de naturaleza financiera. Todas las divulgaciones fuera de la plataforma conocidas por la empresa se han realizado con el identificador “rzlr“.
El actor de amenazas tuvo acceso a los sistemas HackerOne entre el 4 de abril y el 23 de junio de 2022. Si el actor de amenazas accedió a uno de los informes de vulnerabilidad de los investigadores, la empresa se comunicará con los investigadores.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
