HackerOne alkalmazott kirúgása
A HackerOne elbocsátotta egyik alkalmazottját, mert saját magának gyűjtötte be az ügyfeleitől az azonosított hibákért járó jutalmat. Miután figyelmeztette őket a termékeik sebezhetőségére – olyan sérülékenységekre, amelyeket más kutatók találtak, és amelyeket a HackerOne platformon keresztül megkaptak volna – privát módon közölte velük és begyűjtött a jutalmat.
A HackerOne akkor fedezte fel a problémát, amikor az egyik ügyfele arra kérte a szervezetet, hogy vizsgáljanak ki egy, a HackerOne platformon kívül júniusban közzétett sérülékenységet. Az ügyfél, a hibajavító programok többi klienséhez hasonlóan, a HackerOne segítségével gyűjtötte össze a termékeiben található sérülékenységeket, amelyeket független biztonsági kutatók fedeztek fel. Cserébe a cég jutalmat – vagy hibadíjat – fizet a bejelentett sérülékenységekért. A HackerOne ügyfele azt mondta, hogy egy névtelen személy felvette velük a kapcsolatot egy olyan sérülékenység miatt, ami nagyon hasonlít egy másik hibához, amit egy kutató korábban a HackerOne platformon keresztül közölt.
A bejelentés miatt a HackerOne vizsgálata szinte azonnal rámutatott arra, hogy valószínűleg több ügyféllel is kapcsolatba léptek hasonló módon. A HackerOne kutatói minden olyan esetet vizsgálni kezdtek, amikor valaki hozzáférhetett a sebezhetőséget felfedő adatokhoz.
A vizsgálat arra a következtetésre jutott, hogy egy (mára korábbi) HackerOne-alkalmazott hozzáfért az ügyfelek sebezhetőségi adataihoz, hogy személyes haszonszerzés céljából külön, egyedileg is jutalmat követelt.
A HackerOne módosítja a biztonsági ellenőrzéseket, hogy megakadályozza, hogy a rosszindulatú bennfentesek a jövőben ugyanezt megtegyék.