Bug Bounty platformu olan HackerOne, bir çalışanını “kendi kişisel çıkarı için güvenlik açığı raporlarına eriştiği ve buradan ek ödüller talep ettiği” gerekçesiyle işten çıkardı.
Zafiyet raporlarının HackerOne programı dışında ifşa edildiğini açıklayan platform yetkilileri “Bu, değerlerimizin, kültürümüzün, politikalarımızın ve iş sözleşmelerimizin açık bir ihlalidir.” ifadelerini kullandı.
“MESLEKTAŞLARININ EMEĞİ ÜZERİNDEN KAZANÇ ELDE ETMEYE ÇALIŞTI”
Şirketleri siber güvenlikçilerle buluşturan bir Bug Bounty platformu olan HackerOne, çalışanını işten çıkarma gerekçesinde “kendi kişisel çıkarı için güvenlik açığı raporlarına eriştiği ve buradan ek ödüller talep ettiği ve bunları HackerOne programı dışında ifşa ettiği”ni bildirdi.
Söz konusu olay, HackerOne müşterisi olan bir şirketin aynı güvenlik zafiyetini iki kişinin farklı yollardan raporladığını, normalde böyle olaylar yaşansa da bu vakada bir kişinin güvenlik açığıyla ilgili oldukça tehditkâr bir dil kullandığını belirttiği bir mesajı HackerOne’a iletmesiyle ortaya çıktı.
Konunun üzerine düşen HackerOne araştırmacıları daha sonra çalışanların güvenlik açığı açıklamalarına erişimiyle ilgili günlük verilerine baktı ve müşterilerin şüpheli olarak bildirdiği açıklamaların her birine yalnızca bir çalışanın eriştiğini buldu.
HackerOne, “Müşterimizden gelen mesaj sonrası 24 saat içinde söz konusu çalışanın sistem erişimini sonlandırmak için adımlar attık ve araştırmamızda derinleşmek için dizüstü bilgisayarlarını uzaktan erişime kapattık.” açıklamasında bulundu.
“BUG BOUNTY PROGRAMLARINA GÜVEN SARSILABİLİR”
Vulcan Cyber’dan Mike Parkin, bunun gibi olayların, HackerOne’ın yönettiği gibi kitle kaynaklı güvenlik açığı programlarının başarısının anahtarı olan güveni baltalayabileceğini ifade etti.
Parkin, “Güven, güvenlik açığı araştırmalarında büyük bir faktördür ve birçok bug bounty programında önemli rol oynar. Yani, birisi başka bir araştırmacının çalışmasını çalıp onu kendisininmiş gibi sunduğunda, bu temel güven sarsılabilir.” diye konuştu.
Bunun yanı sıra Parkin, HackerOne’ın şeffaf olduğunu ve durumu çözmek için hızlı davrandığını belirterek, “Umarım olay güvenlik açığı araştırma ekosistemini genel olarak etkilemez. Fakat ileriye dönük bug bounty başvurularının daha derin incelenmesine yol açabilir.” değerlendirmesinde bulundu.
Olayın ardından HackerOne, kontrollerin ve taramaların artacağını, çeşitli iyileştirmeler yapılacağını duyurdu.
