知名漏洞眾測平臺Rogue HackerOne的一名員工，竟然利用工作職務之便，竊取通過漏洞賞金平臺提交的漏洞報告，出售給那些受影響的用戶，以此索取現金獎勵。據HackerOne表示，這名員工聯系了7名HackerOne 客戶，并在少數披露中獲取了賞金。

眾所周知，HackerOne是一個漏洞眾測平臺，用于協調漏洞披露，并為提交安全報告的白帽黑客提供獎勵。目前，HackerOne已為多家世界知名技術公司提供服務。

事件詳細經過?

6月22日，HackerOne正式回應用戶的請求，調查一個使用“rzlr”昵稱的人，通過平臺之外的通信渠道泄露可疑漏洞。有用戶注意到，此前已經通過 HackerOne 提交了相同的安全問題。

多位安全研究人員發現并報告相同的安全問題其實很常見，在這樣的情況下，真實報告和來自攻擊者的報告存在明顯相似之處，因此需要平臺仔細觀察。

經過調查，HackerOne平臺確定，有一名員工自 4 月 4 日加入公司以來，至6月23日已經訪問該平臺兩個多月，并聯系了七家公司報告通過平臺披露的漏洞。

HackerOne公司表示，這名員工為他們提交的一些報告獲得了報酬。這使得HackerOne能跟蹤錢的去向并確定肇事者是其為“眾多客戶項目”分流漏洞披露的工作人員之一。

HackerOne在報告內寫到，這名員工創建了一個 HackerOne sockpuppet 帳戶，并在少數披露中獲得了賞金。在確定這些賞金可能不正當后，HackerOne 聯系了相關的支付提供商，他們與我們合作提供了更多信息。

分析該威脅者的網絡流量發現了更多的證據，從而將他們在HackerOne上的主要賬戶和傀儡賬戶聯系起來。

在開始調查后不到24小時，HackerOne 確定了這名員工的行為，終止了他們的系統訪問，并在調查期間遠程鎖定了他們的筆記本電腦。

在接下來的幾天里，HackerOne對嫌疑人的電腦進行了遠程取證成像和分析并完成了對該員工在工作期間的數據訪問日志的審查，以此確定了該威脅行為人與之互動的所有漏洞賞金項目。

6月30日，HackerOne開除了這名員工，并在律師的建議下，將該名員工移交給相關部門，并對其日志和設備進行取證分析。

HackerOne 指出，其前員工在與客戶的互動中使用了“威脅”和“恐嚇”語言，并敦促客戶在收到以攻擊性語氣披露的信息時與公司聯系。

該公司表示，“在絕大多數情況下”，它沒有證據表明漏洞數據被濫用。但是，該員工出于惡意或合法目的訪問了報告的客戶，已被單獨告知每個漏洞披露的訪問日期和時間。