Công ty nghiên cứu lỗ hổng bị… đánh cắp tài liệu về các lỗ hổng

Một báo cáo chứa thông tin về những lỗ hổng mà công ty HackerOne thu thập được đã bị đánh cắp.

Theo PCMag, HackerOne, một công ty chuyên săn tìm các lỗ hổng để nhận tiền thưởng, cho biết một nhân viên của họ đã đánh cắp các báo cáo về lỗ hổng bảo mật mà công ty đã nghiên cứu được từ các công ty đối tác để trục lợi.

Hiện nay, nhiều công ty đã bắt đầu chương trình trao tiền thưởng cho những nhà nghiên cứu bảo mật trong việc phát hiện các lỗ hổng trong sản phẩm của họ thay vì tự tìm kiếm các lỗ hổng đó. Rất nhiều công ty thường liên kết với các công ty bên thứ ba như HackerOne để vận hành các chương trình này cho họ.

HackerOne cho biết họ đã phát hiện ra một nhân viên truy cập trái phép vào các báo cáo bảo mật để trục lợi vào tháng 6. Công ty cho biết: “Người này đã tiết lộ thông tin về lỗ hổng bảo mật ra ngoài nền tảng của HackerOne với mục đích kiếm thêm tiền thưởng”. “Đây là sự vi phạm rõ ràng các giá trị, văn hóa, chính sách và hợp đồng lao động của chúng tôi.”

Toàn bộ cuộc điều tra của HackerOne được báo cáo là mất chưa đầy 24 giờ. Sau khi một đối tác của công ty cảm thấy nghi ngờ một nhân viên, khi người này gửi một báo cáo sự cố để yêu cầu xóa thông tin truy cập của họ vào dữ liệu mật.

HackerOne bị nhân viên nội bộ đánh cắp dữ liệu.

Công ty cho biết đã sa thải nhân viên đang bị nghi vấn và đang thảo luận với các luật sư để đưa ra quyết định pháp lý sau đó.

“Tóm lại, đây là một sự cố nghiêm trọng. Chúng tôi tin rằng quyền truy cập nội bộ hiện đã được kiểm soát. Nội gián là một trong những điều tối kỵ trong an ninh mạng và chúng tôi sẵn sàng làm mọi thứ trong khả năng của mình để hạn chế xảy ra những sự cố như vậy trong tương lai,” HackerOne nói.

Công ty cũng cho biết họ đang thực hiện một số cải tiến đối với các quy trình và hạn chế quyền truy cập của nhân viên vào một số thông tin nhất định. Không rõ tại sao một số biện pháp bảo mật nói trên - đặc biệt là hạn chế quyền truy cập vào các báo cáo tối mật - lại không được áp dụng từ đầu tại công ty.

Về mặt tích cực, HackerOne nói rằng tất cả các báo cáo do cựu nhân viên này đánh cắp được đều có sự trùng lặp, điều này nói lên rằng các khoản thanh toán cho các nhà nghiên cứu bảo mật hợp pháp không bị ảnh hưởng.

Nguồn: [Link nguồn]Nguồn: [Link nguồn]