賞金獵人平台 HackerOne 早幾日發出聲明,指發現有新入職員工私下將平台會員上傳嘅安全漏洞報告據為己用,再將報告提交存在漏洞嘅公司,以free rider 模式賺取賞金,如果唔係有客戶發現重複收到類似安全報告,先至揭發呢次事件,否則呢個員工應該仲可以賺多幾轉錢。
HackerOne 呢個全球最大嘅網絡安全賞金獵人平台成立於 2011 年,原名為 Hack100,創辦人 Jobert Abma 及Michiel Prins 係荷蘭黑客,佢哋嘅目標係要搵出全球100強科技公司嘅安全漏洞。HackerOne 成立近五年,旗下黑客所獲取嘅賞金只得二千萬美元,但單在 2019 年已獲得四千萬美元!一來與平台合作嘅企業愈來愈多,例如 Facebook、Microsoft、Sony、Uber 等,至今已超過 1,700 間,其次係加盟嘅黑客亦爆發式增長,現時已登記嘅黑客已多達 60 萬,同時來自全球170個地區,成為一個龐大嘅網絡安全專家網絡。
不過,今次呢粒老鼠屎就令到 HackerOne 平台失信受影響嘅會員,根據平台發言人所講,早前佢哋接到一個同平台合作嘅企業客戶報告,指收到兩份舉報相同漏洞嘅報告,本來發現相同漏洞嘅情況經常發生,但由於呢兩個報告嘅內容非常相似,所以先令客戶產生懷疑。經調查後,HackerOne 發現原來同一個入職兩個幾月嘅員工有關,呢個員工私下攞咗平台會員上載嘅安全漏洞報告,稍為修改內容後,就將報告提交俾受漏洞影響嘅公司,經對方確認後,仲因此獲得漏洞賞金,幾乎零成本將賞金袋袋平安。HackerOne 已解僱咗呢個員工,同時了解咗呢個員工在職期間接觸過嘅報告,並通知咗受影響嘅平台會員,保證事件唔會再發生咁話。
