Een medewerker van bug bounty platform HackerOne kopieerde het werk van hackers om van bedrijven betaald te krijgen. Interne dreigingen zijn een lastig probleem voor bug bounty platforms.

HackerOne werd in 2012 opgericht. Sindsdien ontwikkelt de organisatie een bug bounty platform. Bedrijven melden zich aan en betalen hackers voor het vinden van kwetsbaarheden. Hackers gebruiken het platform graag. Zij kiezen uit meerdere opdrachten en ontvangen een adequate vergoeding.

HackerOne is een tussenpersoon. De organisatie ziet erop toe dat bedrijven eerlijke informatie van hackers ontvangen, en hackers eerlijk worden beloond. In juni 2022 liep het mis. Een medewerker van HackerOne misbruikte vertrouwelijke informatie om geld bij klanten te innen.

Hoe ging het fout?

De medewerker was verantwoordelijk voor het controleren van de kwetsbaarheden die door hackers worden ontdekt. Hackers ontvangen pas een vergoeding wanneer de kwetsbaarheid aan een aantal voorwaarden voldoet. Logisch, want de kwetsbaarheid moet kloppen. Daar zag de medewerker op toe.

Je kan een kwetsbaarheid alleen controleren door een kwetsbaarheid in te zien. Vandaar was de medewerker gemachtigd om kwetsbaarheden in te zien. HackerOne wist niet dat de medewerker zich via een eigen account voordeed als hacker. De medewerker kopieerde het werk van daadwerkelijke hackers om van klanten betaald te krijgen.

Meldt een bedrijf zich bij HackerOne aan, dan belooft het bedrijf een vergoeding voor de vinder van een kwetsbaarheid. Vinden twee hackers dezelfde kwetsbaarheid, dan betaalt het bedrijf voor dubbel werk. In elk ander geval is het systeem oneerlijk voor hackers, want zij werken afzonderlijk. Vandaar leek het werk van de medewerker legitiem.

Zeven klanten werden gedupeerd. Een van de bedrijven trok op 22 juni aan de bel. Na nader onderzoek werd de medewerker ontslagen.

Wat deed HackerOne verkeerd?

HackerOne kwam op een aantal vlakken tekort. De organisatie screent de achtergrond van nieuwe medewerkers, maar was niet streng genoeg om dit incident te voorkomen. Daarnaast heeft HackerOne onvoldoende medewerkers voor het opsporen van interne dreigingen, waaronder de ex-medewerker. Vandaar wordt het team aangevuld.

Ook werkt de organisatie aan nieuwe technische maatregelen, waaronder een automatisch systeem voor het herkennen van verdacht gedrag. Verder investeert HackerOne in data-isolatie, waardoor medewerkers minder toegang hebben tot informatie van klanten en hackers.

De organisatie neemt het incident serieus, maar de reputatieschade is groot. Bug bounty platforms draaien op vertrouwen. Elk incident is een incident teveel.

Voorzorg

Dit alles betekent niet dat je bug bounty platforms moet wantrouwen. 99,9 procent van de keren gaat het goed. Werk je als bedrijf of hacker met een bounty platform, dan kan het helpen om door te vragen naar de manier waarop het platform interne dreigingen aanpakt.

Tip: Nederlands bug bounty-platform Intigriti haalt 21 miljoen euro op