l+f: Bug-Bounty-Insider kassiert ab

Auch Cybersecurity-Unternehmen sind nicht vor internen kriminellen Machenschaften gefeit.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 9 Beiträge

(Bild: Oleksiy Mark/Shutterstock.com)

Von
  • Dennis Schirrmacher

Ein Angestellter der Bug-Bounty-Plattform Hackerone konnte der Versuchung nicht widerstehen und hat interne Reports zu Sicherheitslücken eigenhändig an Kunden weitergeleitet, um Belohnungen einzustreichen.

Hackerone ist eine Bug-Bounty-Plattform, bei der Sicherheitsforscher entdeckte Schwachstellen einreichen können. Erfüllen die gefundenen Sicherheitslücken die Meldekriterien, bekommen sie eine Geldprämie. Je nach Schweregrad der Lücke können das durchaus mehrere tausend US-Dollar sein.

Einem Statement der Plattform zufolge soll das im Zuge der Kommunikation mit einem Kunden aufgeflogen sein, weil eine Lücke mit einem identischen Bericht doppelt gemeldet wurde. Der interne Täter soll innerhalb von etwas mehr als zwei Monaten sieben Firmen kontaktiert, mit aggressivem Ton unter Druck gesetzt und dann abkassiert haben. Aufgrund der Rückverfolgung der Zahlungstransaktionen konnte Hackerone den Mitarbeiter ausfindig machen. Im Anschluss sperrten sie ihm den Zugriff und Laptop.

Mehr Infos

lost+found

Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.

Alle l+f Meldungen in der Übersicht

(des)