6月22日，HackerOne 平臺(tái)的一名客戶要求調(diào)查一起可疑的漏洞披露事件，名為 “rzlr”的人員通過平臺(tái)以外的通信渠道披露了漏洞。這名客戶注意到，此前已通過 HackerOne 平臺(tái)提交過同樣的安全問題。

撞洞是指多名研究員發(fā)現(xiàn)并報(bào)告了同樣的漏洞問題，這種情況很常見；在本案例中，真正的漏洞報(bào)告和來自威脅行動(dòng)者的報(bào)告之間有很多值得仔細(xì)審查的相似之處。HackerOne 平臺(tái)調(diào)查后發(fā)現(xiàn)，其中一名員工在兩個(gè)多月（4月4日至6月23日）的時(shí)間里有訪問該平臺(tái)的權(quán)限，并聯(lián)系了7家公司向它們報(bào)告已通過HackerOne 系統(tǒng)披露的漏洞。

獲得報(bào)酬

HackerOne 平臺(tái)指出，這名惡意員工因其中的某些漏洞報(bào)告得到了經(jīng)濟(jì)報(bào)酬。該平臺(tái)通過追蹤款項(xiàng)來源后發(fā)現(xiàn)，始作俑者是負(fù)責(zé)為“很多客戶計(jì)劃”分類漏洞披露的其中一名員工。

HackerOne 通過和相關(guān)的支付提供商聯(lián)系后獲得更多信息。該平臺(tái)分析該威脅行動(dòng)者的網(wǎng)絡(luò)流量后找到了原始賬戶和馬甲賬戶相關(guān)聯(lián)的更多證據(jù)。在調(diào)查開啟后不到24小時(shí)內(nèi)，HackerOne 鎖定了這些員工，禁用了他們的系統(tǒng)訪問權(quán)限并遠(yuǎn)程鎖定筆記本以等待質(zhì)詢。幾天后，HackerOne 對嫌疑人的計(jì)算機(jī)進(jìn)行了遠(yuǎn)程取證成像和分析，并完成對該名員工在職期間數(shù)據(jù)訪問日志的審計(jì)，判斷他曾參與的漏洞獎(jiǎng)勵(lì)計(jì)劃。

6月30日，HackerOne 平臺(tái)終止了與這名員工的雇傭關(guān)系。該平臺(tái)提到，這名離職員工使用“威脅性”和“恐嚇性”語言與客戶進(jìn)行交流，以攻擊性語調(diào)督促客戶如收到漏洞披露情況，則與該公司取得聯(lián)系。該平臺(tái)指出，“在大多數(shù)案例中”，并未有漏洞數(shù)據(jù)遭濫用的證據(jù)。然而，HackerOne 指出，已經(jīng)單獨(dú)聯(lián)系出于惡意或合法目的而導(dǎo)致漏洞報(bào)告遭訪問的客戶，告知他們漏洞披露遭訪問的日期和時(shí)間。另外，還將該該消息告知漏洞報(bào)告遭訪問的黑客，并提供了該員工合法或惡意訪問的報(bào)告清單。