Un collaborateur de la plateforme de primes aux bugs HackerOne avait accès à des notifications de bugs envoyées par des utilisateurs et a utilisé ces informations pour demander de l’argent aux entreprises concernées.
La plateforme HackerOne permet aux entreprises de gérer les primes octroyées pour le signalement de bugs dans leurs outils. Lorsqu’un hacker éthique mentionne une vulnérabilité à la plateforme, HackerOne examine de quoi il s’agit et décide si ce hacker peut être payé pour ce rapport de bug et combien il peut recevoir en remerciement. En fonction de la gravité de la vulnérabilité, les sommes peuvent atteindre des milliers voire des millions de dollars. La plateforme travaille notamment pour de grandes entreprises comme Microsoft, Google, Nintendo, PayPal, Slack et Twitter.
Arnaque aux bugs
Récemment, HackerOne s’est toutefois retrouvée face à une menace dans ses propres rangs. La plateforme a mentionné sur son site Web que l’un de ses employés, entre-temps licencié, avait consulté des rapports de bugs alors que cela ne lui était pas autorisé. Il aurait ensuite transmis les informations de ces rapports aux entreprises concernées par les vulnérabilités, en échange de récompenses financières.
Ce collaborateur, qui a eu accès aux systèmes de HackerOne du 4 avril au 22 juin, était en contact avec sept entreprises et avait déjà réussi à faire céder plusieurs d’entre elles. HackerOne a indiqué qu’elle met en place des mesures pour éviter qu’un tel incident se reproduise.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici