Insider-Attacke auf HackerOne

Die größte Bug-Bounty-Plattform HackerOne hat nach eigenen Angaben einen Mitarbeiter entlassen, der von externen Forschern eingereichte Bug-Meldungen zu seinem persönlichen Vorteil missbraucht hat.

HackerOne ist eine Bug-Bounty-Plattform, an die sich große Unternehmen und Regierungsstellen gewandt haben, um ihre Bug-Bounties zu verwalten. HackerOne nimmt Bug-Meldungen von ethischen Hackern über Software entgegen und triagiert dann intern die Berichte, um zu entscheiden, ob Belohnungen an die Meldenden gezahlt werden sollen oder nicht.

Es steht viel Geld auf dem Spiel. Bis 2020 hat HackerOne mehr als 100 Millionen Dollar an Teilnehmer ausgezahlt, die seit dem Start im Jahr 2012 über 181.000 Sicherheitslücken gemeldet haben, die von HackerOne verwaltet werden. Letztes Jahr zahlte Zoom, ein Kunde von HackerOne, 1,4 Millionen Dollar durch von HackerOne verwaltete Bounties aus.

Chris Evans, Mitbegründer und CISO von HackerOne, erklärte in einem Blogpost am Freitag, dass der ehemalige Mitarbeiter – dessen Aufgabe es war, Bugs für zahlreiche Kunden-Bounty-Programme auszusortieren – irgendwann zwischen dem 4. April und dem 22. Juni unrechtmäßig auf Sicherheitsberichte zugegriffen hatte und die Informationen dann außerhalb der HackerOne-Plattform weitergab, um an anderer Stelle zusätzliche Bounties zu beantragen. Laut Evans hat der Mitarbeiter in einer „Handvoll von Enthüllungen“ zu Unrecht Bounties kassiert.

Das Unternehmen untersuchte den Vorfall, nachdem es am 22. Juni eine Kundenbeschwerde erhalten hatte, in der es gebeten wurde, „eine verdächtige Offenlegung von Sicherheitslücken außerhalb der HackerOne-Plattform“ zu untersuchen. Der Reporter, der den Namen „rzlr“ verwendete, hatte eine „bedrohliche Kommunikation“ über die Offenlegung der Sicherheitslücke geführt.

„Dieser Kunde äußerte sich skeptisch, dass es sich um eine echte Kollision handelte und lieferte eine detaillierte Begründung“, so Evans.  Evans sagte, dass der ehemalige Mitarbeiter diese Informationen über die Sicherheitslücke anonym außerhalb der HackerOne-Plattform veröffentlicht hat, mit dem Ziel, weitere Kopfgelder zu kassieren.

„Unsere Untersuchung hat ergeben, dass ein (nun ehemaliger) Mitarbeiter von HackerOne unrechtmäßig auf Schwachstellendaten von Kunden zugegriffen hat, um denselben Kunden aus persönlichem Gewinnstreben doppelte Schwachstellen erneut zu übermitteln“, erklärte er.

„Dies ist ein klarer Verstoß gegen unsere Werte, unsere Kultur, unsere Richtlinien und unsere Arbeitsverträge. In weniger als 24 Stunden konnten wir den Vorfall eindämmen, indem wir den damaligen Mitarbeiter identifizierten und den Zugang zu den Daten sperrten. Wir haben dem Mitarbeiter inzwischen gekündigt und unsere Abwehrmaßnahmen weiter verstärkt, um ähnliche Situationen in Zukunft zu vermeiden.“

HackerOne hat am 23. Juni den Systemzugang des Mitarbeiters gekündigt und seinen Laptop per Fernzugriff gesperrt. Am 24. Juni wurde der Mitarbeiter befragt, und am 27. Juni „wurde der Laptop des suspendierten Bedrohungsakteurs in Besitz genommen und eine forensische Fernanalyse durchgeführt.“

Der Mitarbeiter, der seit dem 4. April Zugang zum System hatte, stand in Kontakt mit sieben Kunden von HackerOne. HackerOne beendete den Vertrag des Mitarbeiters offiziell am 30. Juni. Bis zum 1. Juli hatte HackerOne alle Kunden informiert, deren Bug-Bounty-Programme in irgendeiner Weise mit dem Mitarbeiter in Berührung gekommen waren, so das Unternehmen.

HackerOne ist zuversichtlich, dass die externe Enthüllung nicht das Werk von mehreren Insidern war, sondern von einem einzigen Mitarbeiter. „Dies war ein ernster Vorfall. Wir sind zuversichtlich, dass der Insider-Zugang nun eingedämmt ist. Insider-Bedrohungen gehören zu den heimtückischsten im Bereich der Cybersicherheit, und wir sind bereit, alles in unserer Macht Stehende zu tun, um die Wahrscheinlichkeit solcher Vorfälle in Zukunft zu verringern“, so Evans.

Evans gibt zu, dass die bestehenden Erkennungs- und Reaktionssysteme von HackerOne diese Bedrohung nicht proaktiv erkannt haben. Das Unternehmen plant, sein Screening-Verfahren für Mitarbeiter zu verbessern, die Datenisolierung und Netzwerkprotokollierung zu verbessern und neue Simulationen durchzuführen, um zu testen, ob es Insider-Bedrohungen erkennen kann.

HackerOne erhielt im Januar eine Finanzierung in Höhe von 49 Millionen US-Dollar, womit sich die Gesamtfinanzierung auf 160 Millionen US-Dollar beläuft. Zu den Kunden gehören das US-Verteidigungsministerium, Dropbox, General Motors, GitHub, Goldman Sachs, Google, Hyatt, Microsoft, das Verteidigungsministerium von Singapur, Nintendo, PayPal, Slack, Starbucks, Twitter und Yahoo.