Согласно сообщению HackerOne, один из сотрудников компании воровал отчеты об уязвимостях, поданные через платформу «bug bounty», и раскрывал их соответствующим клиентам для того, чтобы получить финансовое вознаграждение.
Расследование HackerOne выявило, что один из сотрудников имел доступ к платформе более двух месяцев, с момента своего прихода в компанию 4 апреля до 23 июня, и связался с семью компаниями, чтобы сообщить об уязвимостях, уже раскрытых через платформу.
За некоторые из представленных отчетов недобросовестный сотрудник получал вознаграждение. Это позволило HackerOne проследить денежный след и идентифицировать сотрудника компании, который занимался раскрытием уязвимостей для «многочисленных клиентских программ».
HackerOne также уведомил хакеров на платформе, чьи материалы были получены неизвестным сотрудником. Уведомление информирует хакеров об инциденте и включает список отчетов, к которым злоумышленник смог получить доступ.