براساس خبرهای منتشر شده، یکی از کارمندان پلتفرم پرداخت پاداش پیدا کردن باگها با نام HackerOne گزارشهای ارسال شده توسط کاربران را میدزدیده و دراختیار شرکتهایی که پلتفرمشان آسیبپذیر بوده قرار میداده است.
این شرکت در پستی وبلاگی این موضوع را تایید کرده و گفته است که این اتفاق در طول سهماه رخ داده و تایید کرد که این کارمند از آن زمان هیچ سمتی را در این شرکت ندارد. در ادامه این موضوع، رسانه BleepingComputer گزارش داد که HackerOne هنوز درحال بررسی این موضوع است که آیا باید یک شکایت کیفری را انجام دهد یا خیر.
در اوایل ماه آوریل سال جاری میلادی بود که HackerOne کارمند جدیدی را استخدام کرد که بهدلیل موقعیت شغلیاش، میتوانست به تمام گزارشهایی که برای باگها ارسال شده بود، دسترسی داشته باشد. این گزارشها آسیبپذیریها را در نرمافزارها و سرویسهای مختلف نشان میدهند که میتواند توسط هکرها و مجرمان سایبری برای سرقت رمزهای عبور و سایر اطلاعات حساس، انتشار بدافزار و موارد دیگر مورد سو استفاده قرار گیرد.
HackerOne اعلام کرده است که این فرد از همان روزهای اول گزارشهایی که به دست آنها میرسیده را جمعآوری میکرده و تحت یک نام جعلی با کسبوکارهایی که آن باگ در پلتفرمشان پیدا شده بود تماس برقرار میکرد و با آنها با لحنی تهدیدآمیز و تهاجمی وارد مذاکره میشد. این کارمند درنهایت از شرکتی که آن آسیبپذیری در پلتفرمش پیدا شده بود تقاضای پول میکرد تا اطلاعات مربوط به باگ مورد نظر را دراختیارشان قرار دهد.
زمانی که یکی از مشتریان آسیب دیده با HackerOne تماس گرفت و اعلام کرد که شخص دیگری یک آسیبپذیری مشابه را کشف کرده است، این شرکت متوجه شد که باید کلاهبرداری در جریان باشد. بهگفته این شرکت، درحالیکه کشفهای تکراری در شکار باگها غیرمعمول نیست، اما این نمونه خاص بهحدی یکتا و نادر بود که باعث شد آنها به این موضوع شک کنند.
درنهایت شرکت HackerOne توانست با استفاده از ارائهدهندگان خدمات پرداخت رد پول را بگیرد و متوجه شد که یکی از کارمندان خودش در پشت این کلاهبرداری بزرگ مخفی شده است. بلافاصله پس از کشف اطلاعات مربوط به این کارمند سودجو، دسترسی او به سیستم قطع شد و لپتاپش را از راه دور قفل کردند تا تحقیقات بیشتر درمورد این موضوع انجام شود.
پس از انجام تحقیقات جامع و کامل، شرکت HackerOne با تمام هکرهایی که گزارشهایشان به زیر دست این کارمند آمده بوده و درنهایت با افشای اطلاعات آنها حقشان پایمال شده، ارتباط برقرار و از آنها دلجویی کرد. البته، HackerOne در گزارش منتشر شده خود اعلام کرد که همه گزارش باگهایی که این فرد به آنها دسترسی داشته، مورد سو استفاده قرار نگرفتهاند.