Un employé de HackerOne monnayait illégalement les rapports de bugs

La plateforme de bug bounty HackerOne révèle qu’un de ses employés a dérobé des rapports de bugs, pour les vendre aux clients finaux hors de la plateforme.

Dans un billet de blog, publié ce 1er juillet 2022, Chris Evans, cofondateur et RSSI de HackerOne, la plus importante plateforme de bug bounty au monde, annonce qu’un ancien employé de la société a volé des rapports de bugs soumis par des chercheurs externes, pour les revendre indûment aux clients finaux. Il a été licencié fin juin 2022.

L’employé était chargé de trier les rapports de bugs pour de nombreux programmes de bug bounty. Il a accédé à des rapports entre le 4 avril et le 22 juin 2022, date à laquelle un client de HackerOne a demandé d’enquêter sur « un signalement de vulnérabilité suspect fait en dehors de la plateforme HackerOne ».

« Notre enquête a conclu qu’un (désormais ancien) employé de HackerOne a indûment accédé aux données de vulnérabilité de clients pour soumettre des vulnérabilités dupliquées à ces mêmes clients pour un gain personnel », détaille Chris Evans.

« Il s’agit d’une violation claire de nos valeurs, de notre culture, de nos politiques et de nos contrats de travail. En moins de 24 heures, nous avons travaillé rapidement pour contenir l’incident en identifiant l’employé de l’époque et en lui coupant l’accès aux données. Nous avons depuis licencié l’employé et renforcé nos défenses afin d’éviter des situations similaires à l’avenir », conclut le RSSI d’HackerOne.