La notizia di questa settimana è probabilmente da considerare la summa di molti degli advice che abbiamo dato in passato. In breve: un dipendente disonesto di HackerOne ha rubato le segnalazioni di vulnerabilità inviate tramite la piattaforma di bug bounty e le ha divulgate ai clienti interessati per richiedere ricompense finanziarie. HackerOne è una piattaforma che coordina la divulgazione delle vulnerabilità e intermedia le ricompense monetarie per i cacciatori di bug che inviano le segnalazioni di sicurezza.

Ci sono un po’ di considerazioni da fare in questo caso:

1. Come mai la cosa sia stata tecnicamente possibile e rilevata solo in secondo tempo

2. Quali livelli di controllo una azienda che lavora nel campo della sicurezza dovrebbe avere, dai sistemi ai dipendenti

3. Quali siano i criteri di accesso ai sistemi

4. Quale livello di fiducia e di controllo una azienda cliente possa avere nei confronti di terze parti 

Tutti argomenti che abbiamo già trattato, trattando esempi isolati per ciascuno di essi. In questo caso il lavoratore disonesto ha contattato circa una mezza dozzina di clienti di HackerOne e ha riscosso ricompense “in una manciata di segnalazioni”, come ha dichiarato venerdì l’azienda.

Tutto ha avuto inizio il 22 giugno, quando HackerOne ha risposto alla richiesta di un cliente di indagare su una divulgazione di vulnerabilità sospetta attraverso un canale di comunicazione fuori piattaforma da parte di una persona che utilizzava l’handle “rzlr”. Come spesso diciamo, i sistemi di monitor e alert di una azienda non devo necessariamente essere ristretti alle piattaforme controllate dalla azienda. Il cliente aveva notato che lo stesso problema di sicurezza era stato precedentemente presentato attraverso HackerOne.

Certamente è pur vero che le collisioni di bug, in cui più ricercatori trovano e segnalano lo stesso problema di sicurezza, sono frequenti. In questo caso, tuttavia, la segnalazione autentica e quella dell’impiegato disonesto presentavano evidenti somiglianze che hanno spinto a un’analisi più approfondita. Questo tipo di controlli potrebbe essere sicuramente automatizzato per mitigare eventi simili.

L’indagine di HackerOne ha stabilito che uno dei suoi dipendenti ha avuto accesso alla piattaforma per oltre due mesi, da quando è entrato in azienda il 4 aprile fino al 23 giugno, e ha contattato sette aziende per segnalare vulnerabilità già divulgate attraverso il suo sistema. Ancora una volta, probabilmente un controllo più attento per un nuovo assunto, ed un background check condotto a dovere, in questo caso avrebbero mitigato il problema. Secondo l’azienda, i dipendenti disonesti hanno ricevuto delle ricompense per alcune delle segnalazioni presentate. Questo ha permesso ad HackerOne di seguire la pista del denaro e di identificare l’autore del reato come uno dei suoi dipendenti che si occupano della divulgazione delle vulnerabilità per “numerosi programmi dei clienti”. L’analisi del traffico di rete dell’attore pericoloso ha rivelato ulteriori prove che collegavano i suoi account primari e sockpuppet su HackerOne.

Meno di 24 ore dopo l’avvio dell’indagine, la piattaforma di bug bounty ha identificato il colpevole, ha interrotto il suo accesso al sistema e ha bloccato da remoto il suo computer portatile in attesa dell’indagine. Nei giorni successivi, HackerOne ha eseguito l’imaging e l’analisi forense a distanza del computer del sospettato e ha completato l’esame dei registri di accesso ai dati di quel dipendente per tutta la durata del rapporto di lavoro per determinare tutti i programmi di bug bounty con cui l’impiegato aveva interagito.

HackerOne fa notare che i suoi (ex ormai, licenziati appena si è avuta conferma delle loro azioni fraudolente) dipendenti hanno usato un linguaggio “minaccioso” e “intimidatorio” nell’interazione con i clienti e li ha esortati a contattare l’azienda nel caso in cui avessero ricevuto informazioni con un tono aggressivo. L’azienda afferma che “nella stragrande maggioranza dei casi” non ha prove che i dati sulle vulnerabilità siano stati utilizzati in modo improprio. Tuttavia, i clienti che hanno avuto accesso ai report da parte dell’attore interno della minaccia, sia per scopi nefasti che legittimi, sono stati informati individualmente delle date e degli orari di accesso per ogni divulgazione di vulnerabilità.

HackerOne ha inoltre notificato agli hacker della piattaforma i cui contributi erano stati consultati dal dipendente disonesto. La notifica informa gli hacker dell’incidente e include un elenco dei report a cui l’attore della minaccia ha avuto accesso legittimamente, come parte del proprio lavoro, o con l’intenzione di abusare delle vulnerabilità presentate. Quindi, HackerOne ha agito prontamente e in modo estremamente efficiente dopo il fatto, contenendo l’incidente e ponendovi un rimedio. Anche la comunicazione ai clienti è stata tempestiva ed etica. Tuttavia, le parti iniziali -citando NIST-, “identify protect and detect” hanno lasciato a desiderare, e si può sicuramente dire “scampato pericolo” perché a quanto pare l’attore malevolo si è limitato a rivendere le vulnerabilità ai diretti interessati e non a terze parti che avrebbero potuto sfruttarle con conseguenze ben più nefaste.

Quindi, tornando a NIST, ricordiamo sempre che la sicurezza si deve gestire dall’inizio, end-to-end, non solo nelle fasi di “respond and recover” e non dimenticando mai quanto possano essere insidiose le minacce interne per la propria, ed altrui come in questo caso, sicurezza informatica.