חוקר אבטחה אחד עקץ חוקרי אבטחה אחרים בדרך שלא היתה מביישת האקרים

פלטפורמת האסגרות HackerOne קיבלה תגובה על פעילות חשודה מאחת הלקוחות, וגילתה עובד שעשה את הדבר הכי קרוב ל׳׳הרצחת וגם ירשת׳׳ של עולם הסייבר

מקור: pixabay

תוכניות Bug Bounty הן הזדמנות מצוינת לחוקרי אבטחה גם להכניס עוד קצת כסף לכיס ועל הדרך לעשות שרירים על הקולגות. יש חוקרים שמנסים את מזלם והולכים ישר למקור, ויש מי שעוברים דרך פלטפורמות צד ג׳ כדי לבצע את האסגרות – כמו HackerOne. אבל מה קורה כשעובד בפלטפורמה מחליט לעשות את הגרסה הכי קרובה ל״הרצחת וגם ירשת״ של עולם הסייבר?

ריפד את חשבון הבנק בעזרת גילויים של אחרים

עובד בפלטפורמת האסגרה של האקר-וואן גנב כמה דוחות אסגרה של חולשות שהוגשו על ידי חוקרי אבטחה וביקש לפדות את הבאונטי עליהן באופן עצמאי. כך אישרה החברה בדוח שפרסמה באתר שלה המתייחס ל״תקרית״ שגילו בחודש שעבר.

על פי הדוח של החברה, העובד אף הצליח לקבל את התשלום על האסגרה של החולשות שביצע מול לקוחותיה כ״חוקר פרטי״. הוא הצליח לעבור מתחת לרדאר עד שבחודש שעבר קיבלה החברה תלונה מאחת מלקוחותיה על כך שחוקר בשם rzlr שהגיש לה אסגרה שנראתה לה חשודה.

הבעיה של העובד התחמן הייתה שהוא ניסה לבצע אסגרה לחולשה שכבר נסגרה – לאחר שהוגשה דרך הפלטפורמה של HackerOne. חשוב לציין כי זה לא נדיר שמקרה כזה קורה, אך מכיוון שהדיווח של העובד היה דומה מאוד לדיווח המקורי, החברה שעובדת עם HackerOne פנתה אליה כדי שזו תבדוק לעומק את הנושא.

מהחקירה עלה כי אחד מעובדי החברה הוא זה שאחראי לאסגרה הכפולה, לאחר שקיבל גישה לפלטפורמה ולאסגרות שהוגשו אליה במשך חודשיים – מתחילת עבודתו בחברה באפריל האחרון ועד 23 ביוני אז הסתיימה החקירה והגישה של העובד נחסמה. מהחקירה התגלה כי העובד פנה לפחות לשבע חברות כדי לבצע מולן אסגרות שכבר הוגשו לפלטפורמה באופן פרטי.

עוד סיפורים כאלו מחכים לכם עכשיו עוד סיפורים כאלו מחכים לכם עכשיו בערוץ העדכונים הרשמי של גיקטיים

אתם בטח תוהים ״למה שזה יעבוד לו?״. אז זהו, שזה הצליח לו. לפחות כמה חברות (הדוח לא מציין כמה), פתחו את הארנק ושילמו לו על האסגרות שביצע. לצערו, התשלומים הללו איפשרו בסופו של דבר לחברה לעקוב אחרי שביל הכסף שהותיר אחריו והוא נתפס.

בדוח נכתב כי העובד פתח חשבון ״בובת גרב״ ב-HackerOne שדרכו הגיש את האסגרות שעל חלקן קיבל תשלום. ״אחרי שזיהינו כי הבאונטיז הללו לא היו תקינים, HackerOne פנתה לחברות ששילמו עליהם ואלו שיתפו איתנו פעולה כדי לספק מידע נוסף״, נכתב בדוח.

תוך 24 שעות מרגע החקירה – נתפס

על פי האקר-וואן, תוך פחות מ-24 שעות אחרי שהחלו לבדוק את הטענות בנושא האסגרה הבעייתית, החברה כבר הצליחה להשלים את המרדף אחריו על סמך המידע שקיבלו מהחברות ששילמו לו ומחפירה בתוך המערכות שלה. לאחר השלמת התהליך נחסמה הגישה של העובד למאגרי החברה, והלפטופ שלו ננעל מרחוק על ידי החברה עד שהוא יתוחקר פנים-אל-פנים והמחשב ייבדק ע״י החברה.

HackerOne ביצעה ניתוח פורנזי למחשב של העובד בימים שאחרי שהבינה שהוא החוקר שעשה דאבל דיפ לאסגרות, וזיהתה את כל תוכניות הבאג הבאונטי שאליהן פנה בימיו בחברה. העובד פוטר ב-30 ביוני, שבוע אחרי שנתפס, והחברה הודיעה כי תבחן עם הייעוץ המשפטי שלהם האם גם לפתוח בהליך פלילי נגדו.

אושרי אלקסלסי

Your Friendly Neighborhood Geek. יש לכם סיפור טכנולוגי? דברו איתי: [email protected]

הגב

1 תגובה על "חוקר אבטחה אחד עקץ חוקרי אבטחה אחרים בדרך שלא היתה מביישת האקרים"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
Moshe Klienblat
Member

שנוח בנה את התיבה הגיע השקר, נוח אמר לו איש לאשתו, אין כניסה ליחידים, בלית ברירה יצא השקר לחפש בת זוג, הוא מצא את פחת, היא הסכימה רק בתנאי שכל מה שנשאר מרוויח היא לוקחת, ומאז משקר אין רווח רק הפסד

wpDiscuz

תגיות לכתבה: