HackerOneは7月2日(米国時間)、「#1622449 June 2022 Incident Report - HackerOne」において、同社の従業員が個人的な利益を得るため、顧客の脆弱性情報に不正アクセスしたことを報告した。顧客より同社プラットフォームの外部で疑わしい脆弱性の開示があったという指摘に対する調査によって判明した。当該従業員はすでに解雇されているという。
-
#1622449 June 2022 Incident Report - HackerOne
HackerOneの調査によって、同社の従業員(現在は解雇され、元従業員)が顧客の脆弱性情報に不適切にアクセスし、個人的な利益のために顧客に既知の脆弱性を再送信したことが明らかとなった。同人物は追加の報奨金を請求する目的で、窃取した脆弱性情報を匿名でHackerOneプラットフォームの外部に公開したとのこと。HackerOneは24時間以内に当時の従業員が犯人であることを特定。複数のインサイダーが存在する可能性も調査し、情報に不正にアクセスした一人の従業員による犯行だったと結論付けている。
HackerOneは脆弱性データが悪用された証拠や他の顧客情報にアクセスされた証拠は見つからなかったとし、元従業員がアクセスした正確な脆弱性情報とアクセス時間について個別に顧客に通知したと述べた。
HackerOneは今後、このようなインサイダー脅威が起きないよう改善策を発表している。それは次のとおり。
- ロギングのさらなる改善 - 今後はあらゆる事態に対応できるよう、さらなるロギングの改善を実施
- 検知と対応 - 今後の脅威を未然に検知・防止するため、インサイダー脅威を専門とする従業員を追加
- 採用審査の強化 - 既存の業界標準の経歴、犯罪歴、推薦状チェックプロセスだけでなく、さらなる採用審査の強化を行う
- データの分離 - 危険なインサイダーや悪意のあるインサイダーグループの影響を制限するための対応
- 継続的なインサイダー脅威の対抗 - インサイダー脅威に効果的に対抗するためにさらなるシミュレーション計画を追加
今回の事件を重大なインシデントであると同社は位置づけている。インサイダーの脅威をサイバーセキュリティの中でも最も陰湿なものの一つと捉えており、今後このようなインシデントの可能性を減らすために全力を尽くすと発表している。
