信息来源：安全内参

HackerOne 平台的一名员工窃取了通过该平台提交的多份漏洞报告，并将报告披露给受影响客户，获得经济报酬。

这名员工已经联系了约6名HackerOne 客户并“在几次漏洞披露中”获得奖励。

捉拿罪魁祸首

6月22日，HackerOne 平台的一名客户要求调查一起可疑的漏洞披露事件，名为 “rzlr”的人员通过平台以外的通信渠道披露了漏洞。这名客户注意到，此前已通过 HackerOne 平台提交过同样的安全问题。

撞洞是指多名研究员发现并报告了同样的漏洞问题，这种情况很常见；在本案例中，真正的漏洞报告和来自威胁行动者的报告之间有很多值得仔细审查的相似之处。HackerOne 平台调查后发现，其中一名员工在两个多月（4月4日至6月23日）的时间里有访问该平台的权限，并联系了7家公司向它们报告已通过HackerOne 系统披露的漏洞。

获得报酬

HackerOne 平台指出，这名恶意员工因其中的某些漏洞报告得到了经济报酬。该平台通过追踪款项来源后发现，始作俑者是负责为“很多客户计划”分类漏洞披露的其中一名员工。

HackerOne 通过和相关的支付提供商联系后获得更多信息。该平台分析该威胁行动者的网络流量后找到了原始账户和马甲账户相关联的更多证据。在调查开启后不到24小时内，HackerOne 锁定了这些员工，禁用了他们的系统访问权限并远程锁定笔记本以等待质询。几天后，HackerOne 对嫌疑人的计算机进行了远程取证成像和分析，并完成对该名员工在职期间数据访问日志的审计，判断他曾参与的漏洞奖励计划。

6月30日，HackerOne 平台终止了与这名员工的雇佣关系。该平台提到，这名离职员工使用“威胁性”和“恐吓性”语言与客户进行交流，以攻击性语调督促客户如收到漏洞披露情况，则与该公司取得联系。该平台指出，“在大多数案例中”，并未有漏洞数据遭滥用的证据。然而，HackerOne 指出，已经单独联系出于恶意或合法目的而导致漏洞报告遭访问的客户，告知他们漏洞披露遭访问的日期和时间。另外，还将该该消息告知漏洞报告遭访问的黑客，并提供了该员工合法或恶意访问的报告清单。