HackerOne güvenlik açığı raporunu bir çalışanın çaldığını ve ilgili firmalardan kendisi için ödül isteyeceğini ya da en azından talep etmesinin beklendiğini açıkladı[1].
HackerOne bir iş ortağından aldığı mesajda, bir çalışanın gönderdiği hata raporuyla ilgili şüphelerini dile getirmesi üzerine, olayın soruşturulduğunu ve çalışanın bu verilere erişimini kesmeye kadar uzanan soruşturmanın tamamının 24 saatten az sürdüğü bildirildi. HackerOne şöyle yazdı :
“Bir çalışanın kendi kişisel kazancı için güvenlik raporlarına uygunsuz bir şekilde eriştiğini keşfettik. Kişi, ek ödüller talep etmek amacıyla bu güvenlik açığı bilgilerini HackerOne platformunun dışında isimsiz olarak ifşa etti. Bu, değerlerimizin, kültürümüzün, politikalarımızın ve iş sözleşmelerimizin açık bir ihlalidir.
Özet olarak, bu ciddi bir olaydı. İçeriden öğrenenlerin erişiminin artık kontrol altına alındığından eminiz. İçeriden gelen tehditler, siber güvenlikte en sinsi olanlardan biridir ve gelecekte bu tür olaylarda, olasılığı azaltmak için elimizden gelen her şeyi yapmaya hazırız. “
Birçok şirket, yazılımlarındaki açıkların başkaları tarafından bulunmasını engellemek için “ödül programları” yapıyor. Bu şekilde açığı bulanların karaborsada satması yerine kendilerine gelmesini sağlamaya çalışıyor. Bazı şirketler, bu programları yönetmesi için, dış hizmet olarak HackerOne gibi şirketlere veriyor.
HackerOne, bu eski çalışan tarafından erişilen tüm raporların işaretlendiğini ve iletişim kurduğu tüm şirketlere e-posta gönderildiğini söyledi.
