Een medewerker van het bugbountyplatform HackerOne heeft bugmeldingen van beveiligingsonderzoekers voor eigen financieel gewin gebruikt door ze buiten het platform bij kwetsbare bedrijven in te dienen. HackerOne laat softwarebedrijven, overheden en andere organisaties een beloningsprogramma's voor onderzoekers organiseren en handelt de coördinatie tussen de bugmelder en de gecompromitteerde of kwetsbare partij af.

Een klant van HackerOne werd eind juni, naar eigen zeggen op nogal agressieve wijze, ingelicht over een kwetsbaarheid. Het ging om een beveiligingslek dat eerder al bij HackerOne was gemeld. Verder onderzoek wees uit dat een medewerker van HackerOne bij het platform gemelde bugmeldingen opzocht en vervolgens gebruikte om zelf kwetsbare bedrijven direct te benaderen. Zeker zeven klanten van HackerOne zijn door de betreffende medewerker benaderd, zo laat het bedrijf weten.

Verder bleek dat de medewerker een vals HackerOne-account had aangemaakt en dat gebruikte om bugmeldingen van andere onderzoekers bij het platform in te dienen en zo een beloning voor niet uitgevoerd beveiligingsonderzoek te ontvangen. Volgens HackerOne komt het vaker voor dat onderzoekers dezelfde kwetsbaarheden ontdekken, alleen ging het in dit geval duidelijk om fraude. De betreffende medewerker, die inmiddels is ontslagen, had van 4 april tot 23 juni dit jaar toegang tot de systemen van HackerOne. Het bedrijf zegt maatregelen te hebben genomen om herhaling te voorkomen. Daarnaast zijn onderzoekers ingelicht van wie de inzendingen zijn bekeken.