Gestohlene Bug-Berichte

Insider-Attacke bei HackerOne

Ein Kunde meldete HackerOne Sicherheitsbedenken, die sich als Datendiebstahl eines Mitarbeiter entpuppten. Diese Konsequenzen zog HackerOne.
Von 
CSO | 06. Juli 2022 11:50 Uhr
Fast zwei Monate lang hinterging ein Mitarbeiter von HackerOne seinen Arbeitgeber.
Fast zwei Monate lang hinterging ein Mitarbeiter von HackerOne seinen Arbeitgeber.
Foto: seamind224 - shutterstock.com

Durch die Offenlegung von Sicherheitslücken und des Austausch von Wissen wollen die Betreiber der Bug-Bounty-Plattform HackerOne das Internet sicherer machen. Ein Mitarbeiter des Unternehmens hat sich allerdings eigene, weniger ehrenhafte, Ziele gesetzt. Er missbrauchte seinen Zugang zu internen Systemen und stahl Fehlerberichte über Sicherheitslücken, die externe Sicherheitsforscher eingereicht hatten. Diese versuchte er bei den betroffenen Unternehmen zu Geld zu machen. Wie HackerOne vergangene Woche in einem offiziellen Statement mitteilte, wurde der Mitarbeiter mittlerweile entlassen.

HackerOne ist die weltweit größte Bug-Bounty-Plattform, über die ethische Hacker und Pentester Bug-Meldungen einsenden können. Der Anbieter vermittelt dann zwischen den Hackern und den von Sicherheitslücken betroffenen Unternehmen. Diese zahlen für die Entdeckung von Bugs teilweise sechsstellige Beträge aus.

Lesetipp: Zoom zahlt Millionen an Hacker

Erkennung und Reaktion waren unzureichend

Der Insider hatte seit dem 4. April diesen Jahres unrechtmäßig Sicherheitsberichte außerhalb der HackerOne-Plattform an Unternehmen weitergegeben, um deren ausgeschriebene Bounties dafür zu kassieren, berichtet Chris Evans, CISO bei HackerOne, in der Mitteilung. Aufgedeckt wurde das Ganze, nachdem das Unternehmen am 22. Juni die Beschwerde eines Kunden erhielt. Dieser forderte den Anbieter auf, "eine Offenlegung verdächtiger Schwachstellen außerhalb der HackerOne-Plattform zu untersuchen".

Innerhalb von 24 Stunden nach Eingang des Hinweises konnte der Anbieter nach eigenen Angaben den Vorfall eindämmen, indem er den Mitarbeiter identifizierte und seinen Zugang zu Daten sperrte. Gleichzeitig informierte HackerOne alle Kunden, auf deren Bug-Bounty-Programme der Mitarbeiter Zugriff hatte, über die Geschehnisse.

"Dies war ein ernster Vorfall. Wir sind zuversichtlich, dass der Insider-Zugang nun eingedämmt ist. Insider-Bedrohungen gehören zu den heimtückischsten im Bereich der Cybersicherheit, und wir sind bereit, alles in unserer Macht stehende zu tun, um die Wahrscheinlichkeit solcher Vorfälle in Zukunft zu verringern", schreibt Evans.

Der CISO gibt zu, dass die vorhandenen Sicherheitsfunktionen von HackerOne diesen Angriff nicht proaktiv erkannt und verhindert haben. Darauf will das Unternehmen mit der Bereitstellung weiterer Mitarbeiter reagieren, die sich mit Insider-Bedrohungen befassen und deren Erkennung und Behebung unterstützen. Darüber hinaus plant HackerOne, das Screening-Verfahren beim Bewerbungsprozess zu optimieren, sowie die Datenisolierung und die Netzwerkprotokollierung zu verbessern. Außerdem sollen zusätzliche Simulationen solcher Vorfälle die Fähigkeiten des Red Teams, Insider-Attacken zu erkennen, verbessern.

Melanie Staudacher ist Editor bei CSO. Ihr Schwerpunkt ist IT-Security.