HackerOne-werknemer stal kwetsbaarheidsmeldingen en claimde zelf bugbounty's

Een HackerOne-werknemer heeft kwetsbaarheidsmeldingen die het platform kreeg, misbruikt voor eigen gewin. De werknemer benaderde met die meldingen bedrijven en kreeg zo bij 'een handjevol bedrijven' geld. HackerOne heeft de werknemer ontslagen en overweegt juridische stappen.

De werknemer met de gebruikersnaam rzlr had als taak het beoordelen van de urgentie van kwetsbaarheidsmeldingen op HackerOne, schrijft het platform. Daardoor kreeg hij toegang tot meldingen van ethische hackers aan het bugbountyplatform.

Rzlr benaderde de bedrijven waarover de meldingen gingen 'op een dreigende manier' buiten het platform. Hij deed alsof hij de kwetsbaarheid zelf had gevonden, waardoor het voor de bedrijven leek alsof de kwetsbaarheid in korte tijd door twee verschillende onderzoekers was gespot. In werkelijkheid had rzlr zijn of haar melding gekopieerd van de HackerOne-melding.

Een 'handjevol' bedrijven zou daarna een bugbountybedrag hebben overgemaakt aan rzlr. HackerOne benadrukt dat de oorspronkelijke melders van de kwetsbaarheid het bugbountybedrag ook hebben gekregen en dat zij dus niet direct door de werknemer zijn benadeeld. Het platform zegt verder geen bewijs te hebben dat bedrijven het bugbountybedrag voor de oorspronkelijke melders hebben verlaagd, omdat ze geld moesten verdelen over de melder en rzlr.

HackerOne kwam de werknemer anderhalve week geleden op het spoor, toen een bedrijf contact opnam met HackerOne vanwege 'intimiderende en verdachte communicatie' van rzlr. De melding van rzlr leek volgens het benaderde bedrijf verdacht veel op de melding van HackerOne. Het platform begon daarna een onderzoek, binnen 24 uur werd de werknemer gevonden via onder meer logging. Zijn of haar laptop werd een dag later op afstand vergrendeld en de werknemer werd op non-actief gesteld. Afgelopen donderdag werd het contract met de werknemer opgezegd. Hij of zij werkte 2,5 maand bij HackerOne.

Het platform zegt stappen te ondernemen om voorvallen als deze in de toekomst te voorkomen. Zo wil HackerOne meer mensen aannemen om proactief insider threats te kunnen opsporen. Ook wil het platform nieuwe werknemers beter screenen. Bij HackerOne kunnen ethische hackers kwetsbaarheden melden en geld krijgen via bugbounty's. Onder meer PayPal, Facebook en GitHub zijn aangesloten bij het platform.

Reacties (53)

neonite 4 juli 2022 11:07

Hierbij de email die ik heb ontvangen van HackerOne:

Dear @<user>,

We are reaching out to notify you of a security incident. HackerOne is investigating an incident involving a former employee who we believe improperly accessed data for personal gain. In a handful of instances, we know that the former employee attempted to solicit payment for these duplicate submissions by sending aggressive or intimidating emails to a few HackerOne clients.

In an abundance of caution and in the spirit of transparency, we are notifying all hackers who have had submissions that were accessed by this employee during their employment. This includes your submission(s).

To be thorough with our incident disclosure, we are sending you a list of all vulnerability disclosures accessed by this former employee during their previous employment at HackerOne. The nature of this incident makes it difficult to determine whether the threat actor intended to abuse any vulnerability accessed during their regular job duties. Again, given this person's job responsibilities, these may have been accessed for legitimate purposes.

< url of reports >

We continue to investigate this incident and have published a more informative technical post-mortem, which include our planned improvements and details about our investigation: https://hackerone.com/reports/1622449.

Verwijderd @neonite • 4 juli 2022 14:10

Vind dit netjes van HackerOne. Can never be careful enough

david-v

4 juli 2022 10:43

Hij of zij werkte 2,5 maand bij HackerOne.

Als ik een nieuwe collega erbij krijg dan duurt het wel even voordat deze toegang krijgt tot een productie omgeving. Dat je dergelijke gevoelige gegevens al na 2.5 maanden kan inzien, mijn gevoel zegt dat dat toch wel heel snel is. Ben ik nou te streng in dat opzicht of is dit de normale gang van zaken?

edit:typo

edit2: bedankt iedereen voor de reacties . Mijn gevoel hierin is blijkbaar niet helemaal hetzelfde als bij de rest. Ik lees wel vaak de opmerking dat je iemand anders 2,5 maand betaald terwijl deze persoon niks doet. Dat is natuurlijk niet de bedoeling en heb ik ook nooit gedaan. Toegang tot productie gegevens als techneut komt eigenlijk niet heel vaak voor en dat is dan ook de manier waarop ik naar kijk. Dit lijkt meer een "fiunctionele" taak waar je dus wel degelijk continu productie gegevens moet bekijken en beoordelen/reviewen.

Toch is de taak die deze persoon uitvoert, namelijk het beoordelen van een "nieuwe" kwetsbaarheid, behoorlijk gevoelig. Ik zou dan wel een gedegen achtergrond check van die persoon laten uitvoeren (VOG is dan het minste, maar een uitgebreidere check zoals bijvoorbeeld validata group doet is beter in dit geval).

Blijft een lastig verhaal uit de antwoorden die ik hieronder lees. Nogmaals iedereen bedankt voor de inzichten

[Reactie gewijzigd door david-v op 24 juli 2024 04:55]

P1nGu1n

@david-v • 4 juli 2022 10:47

Maar dit was letterlijk zijn baan. Wat stel je dan voor dat hij deze 2,5 maand had moeten doen?

supersnathan94 @P1nGu1n • 4 juli 2022 12:03

“Inlezen”

Macshack @supersnathan94 • 4 juli 2022 14:07

Dat heeft hij blijkbaar ook gedaan

pgerrits @david-v • 4 juli 2022 10:50

Maar jij betaald iemand dus 3 maanden salaris, laat zijn proeftijd verlopen, en gaat daarna pas die persoon laten werken waarvoor je hem/haar inhuurt?

Ik vind dat gek. Ja ik snap je overwegingen, maar ik denk dat het niet praktisch is. Je neemt iemand aan omdat je een behoefte hebt neem ik aan. Daarbij ben ik van mening dat het gaat om vertrouwen geven en vertrouwen krijgen. Wellicht kun je werken met een 4 ogen principe o.i.d.

RVervuurt @pgerrits • 4 juli 2022 11:08

Je kan desbetreffende persoon natuurlijk ook gewoon in een staging-omgeving laten werken, waarna jij als lead de veranderingen doorstuurt naar live.

In dit geval lijkt het echter te gaan om een report-tool waar ethische hackers een soort contactformulier in kunnen vullen met wat ze hebben gevonden, dus dat lijkt me niet handig om een nieuwe medewerker daar maanden voor uit te sluiten.

Ludewig @RVervuurt • 4 juli 2022 13:00

Je kan desbetreffende persoon natuurlijk ook gewoon in een staging-omgeving laten werken, waarna jij als lead de veranderingen doorstuurt naar live.

Op een staging-omgeving heb je normaliter nieuwe software met fake data. Het doel is dan om veel bugs af te vangen voordat ze op productie komen, maar ook om te voorkomen dat niet-geautoriseerde mensen bij de productie-data kunnen. Bij sommige bedrijven mogen de ontwikkelaars ook niet bij de productie-data en -systemen.

Maar dat is hier niet relevant omdat deze persoon geen ontwikkelaar was van het systeem, maar een gebruiker. Die werkt dan natuurlijk in de productie-omgeving. Als je die omgeving wil beschermen tegen vernieling door een geautoriseerde gebruiker, dan is het vastleggen van wijzigingen een logischer aanpak.

En zoals hier bij misbruik van data kun je vastleggen wie wat heeft bekeken. Dat lijkt in hun systeem gedaan te worden, gezien de email die hierboven is gedeeld.

Zoop @Ludewig • 4 juli 2022 17:43

Maar het was deze persoon zijn werk om die data te bekijken en te behandelen, dus dat er geen alarmbellen zijn afgegeaan is redelijk logisch.
Goed beschouwd steelt deze persoon bedrijfsgeheimen van het onderdeel waar hij rechtmatig toegang tot heeft, erg lastig om zoiets af te bakenen.

Kijken waar deze persoon toegang tot heeft gehad is dan ook achteraf opruimen. Er wordt geconstateerd dat deze persoon verkeerd bezig is geweest, DUS dan gaan ze checken waar hij allemaal in is geweest. Niet iets wat gedaan zou worden als er geen reden of beschuldiging is.

Ik heb bij een helpdesk gewerkt en daar kwam het ook wel eens voor dat een werknemer prive contact opneemt met een klant om buitenom de service van het bedrijf iets aan te bieden om zelf aan te verdienen. Heel erg fout, maar hoe ga je dat tegen zolang die klant dat niet meld?

Zenomyscus @RVervuurt • 4 juli 2022 11:42

Dannog werk je met echte data. Of dat nu op een staging of live omgeving staat. Je gaat geen oude of nepgegevens doorzetten. Je kunt het ofwel iemand nepwerk laten doen of niet, maar volgens mij is er in dit geval geen middenweg.

Bossie @RVervuurt • 4 juli 2022 11:57

Idd, vaak word dit simpelweg contractueel afgebakend.

downtime @david-v • 4 juli 2022 10:54

Jij vindt 2,5 maand voordat ze in Productie kunnen snel? Ik ga ervan uit dat mijn manager goeie mensen aanneemt en ze krijgen meteen toegang tot Productie. En ik werk bij een financial waar het best nauw steekt. Maar we doen weer niet aan stagiaires want dat risico vinden we wel te groot.

Als jij 2,5 maand snel vindt dan vraag ik me af wat jij beheert. Kritische medische systemen? Defensie?

Mastofun @downtime • 4 juli 2022 11:51

of een oude database dat al 10 jaar zo "draait" en niemand aan durft te komen

downtime @Mastofun • 4 juli 2022 12:10

Dan doe je het echt verkeerd als je nieuwe medewerkers niet aan het werk kunt zetten omdat het landschap wat je beheert zo fragiel is dat je nergens aan durft te komen. Die oude database moet vroeg of laat toch wat aandacht krijgen en die nieuwe medewerker is de ideale persoon om zich daarover te buigen. Ik vind dat altijd mooie klussen voor de nieuwe mensen om het bedrijf te leren kennen.

Mastofun @downtime • 4 juli 2022 13:33

als consultant zie je veel dingen die echt verkeerd zijn hoor

ultimasnake @david-v • 4 juli 2022 15:18

Dus jij zou een helpdesk medewerker van bijv Picnic eerst 3 maanden lang laten dummy draaien met nep-cases en problemen voor je hem/ haar echte klanten laat helpen waarbij ongetwijfeld echte naw en betaalinformatie zichtbaar is? Tuurlijk train je eerst even maar das een weekje misschien?

Deze persoon moest dus schijnbaar meldingen valideren/controleren en daarna doorzetten, dat is je taak en dat daar gevoelige data bij komt kijken is niet zo heel gek en daar telen je waarschijnlijk een NDA voor. En ach al laat je iemand een jaar lang ‘nep werk’ doen, genoeg mensen gaan ooit over de schreef als ze de kans zien (of juist na jaren uit ontevreden over salaris of arbeidsomstandigheden)

david-v

@ultimasnake • 4 juli 2022 15:34

Er is een verschil tussen de maatschapelijke consequenties van wat een helpdesk medewerker van Picnic kan aanrichten met de data ten opzichte van een medewerker die nieuwe kwetsbaarheden te zien krijgt die misbruikt kunnen worden. Dat laatste kan een behoorlijke maatschappelijke impact hebben. Bij de picnic medewerker blijft het denk ik vooral bij AVG gegevens (ook niet fijn en zeer vervelend) maar ik schat de impact iets minder laag. Misschien beoordeel ik de impact verkeerd, ik ben geen security expert.

Zoop @david-v • 4 juli 2022 17:50

Impact verschilt wellicht, maar het idee is wel hetzelfde.

Dat deze persoon door verschil van impact, velen malen fouter bezig is dan in @ultimasnake zijn voorbeeld doet daar niet van af. Dat beinvloed de strafmate wanneer zo iemand gepakt wordt, zou ik zeggen. Maar de "zwakke schakel" is wel degelijk hetzelfde.

[Reactie gewijzigd door Zoop op 24 juli 2024 04:55]

david-v

@Zoop • 4 juli 2022 19:21

En toch zie je wel een verschil bij de controles die je moet ondergaan afhankelijk van het wel wat je gaat verrichten. Werken voor picnic, of voor een bedrijf die zich bezighoudt met zwakheden in it systemen zijn toch wel van een andere orde. Bij defensie kom je als ITer ook niet zomaar even binnen wandelen na een VOG. Zelfde zwakke schakel, andere impact.

Mijn mening is dat bij dit soort werkzaamheden meer controle zou moeten zijn. Misschien is dat hier ook wel gebeurd en is het alsnog foutgegaan. Dat kan helaas altijd...

adje123 @david-v • 4 juli 2022 10:48

Ligt aan de rol natuurlijk.
Een software tester heeft niks te zoeken in een productieomgeving, een functioneel beheerder heeft daar wel wat te zoeken en dan maakt het niks hit hoe lang je in dienst bent.

Ludewig @adje123 • 4 juli 2022 13:01

Ligt aan de rol natuurlijk.
Een software tester heeft niks te zoeken in een productieomgeving

Meestal wordt er na een release op productie wel degelijk getest of die release goed gedaan is. Dat kan door een tester gedaan worden.

Zoop @Ludewig • 4 juli 2022 17:47

Maar die releases zijn toch ook gewoon goed? Deze persoon heeft (zo ver we weten) daar niet aan gezeten. Persoon neemt, bij wijze van spreken, gewoon informatie van een ingezonden ticket (die deze persoon rechtmatig kon inzien en behandelen) mee naar huis, en buitenom het systeem daarmee aan de slag te gaan.

Dan kan je nog zo'n mooie staging/testing/production omgeving hebben, en alle pushes/commits enzo in de gaten houden, maar dat heeft hier niets mee te maken.

barbarbar @david-v • 4 juli 2022 10:49

Ligt aan de medewerker. Een net afgestuurde begeleid je een tijd voordat die zelfstandig op productie mag. Iemand die al jaren ervaring heeft in het vakgebied, en een vog heeft en geenrare dingen naar voren komen bij een google controle geef je veel sneller vertrouwen als die gene snel toont bekwaam te zijn.

Palm_freemium @david-v • 4 juli 2022 10:53

Dat hangt af van de industrie. Ik werk voor een managed hosting provider, soms hebben we nieuwe collegae die binnen 2 weken bezig zijn met productie omgevingen van belangrijke klanten. Daarnaast hebben we ook mensen aangenomen die eerst 6 maanden mee draaien op de service desk. Het hangt af van hoe kundig iemand is, zijn/haar specialisatie en de werkdruk.

In dit geval lijkt het mij om iemand te gaan die tickets binnen krijgt over kwetsbaarheden en een inschatting moet maken van de prioriteit, impact en of er een bounty moet worden uitgekeerd. Daar is niet veel bijzondere kennis voor nodig, misschien dat deze persoon iets meer technische onderrleg is om ook daadwerkelijk de exploits te kunnen begrijpen.

Overigens denk ik dat dit ook voor een gedeelte pech is. Als je in een supermarkt werkt heb je ook wel eens mensen die in de kassa bak graaien, of even een flessebonnetje uitdraaien, kortom, dit kan overal gebeuren waar mensen met geld werken.

[Reactie gewijzigd door Palm_freemium op 24 juli 2024 04:55]

Luchtbakker @david-v • 4 juli 2022 11:03

Als productie omgevingen zo kritisch zijn dat je nieuwe medewerkers niet vertrouwd, dan moet je specifieke screenings aanvragen wat onderdeel wordt van je sollicitatieprocedure. Denkt aan een verklaring geen bezwaar.

Ik ben van mening dat je collega's direct bij 1e dag toegang moet geven tot de systemen dat hij/zij nodig heeft. Maak van te voren goede afspraken, en ga de eerste 2 maanden dagelijks om tafel wat diegene moet doen en wat ie gedaan heeft. Dan weet je ook een beetje wie iemand is, en het geeft diegene ook een vertrouwd gevoel.

Als iemand echt iets wilt, dan doet hij dat maanden later, en niet de eerste maand.

Frame164 @david-v • 4 juli 2022 11:27

Dat hangt natuurlijk volledig af van het niveau van de collega. Je gaat geen dure senior een beetje binnen laten spelen. Die kennis wil je zo snel mogeljik inzetten, daarvoor heb je die persoon aangenomen.

joker1977 @david-v • 4 juli 2022 11:56

Welke sector ben jij werkzaam? Want wat jij beschrijft lijkt me zeker niet normaal en ik denk dat je wat te streng bent voor het bedrijf.

Op het moment dat iemand wordt aangenomen mag je toch verwachten dat die zijn werkzaamheden kan uitvoeren. Als dat bestaat uit bug-reports categoriseren dan zal hij idd. toegang moeten hebben tot bug-reports. Hetzelfde geldt ook voor bv. mensen die toegang hebben tot financiële, medische en/of prive-gevoelige informatie.

Tintel @david-v • 4 juli 2022 12:04

Ben ik nou te streng in dat opzicht is is dit de normale gang van zaken?

vrij normaal - screening is vooraf, daarna heeft een medewerker toegang tot de data nodig voor z'n functie.

Twanne @david-v • 4 juli 2022 13:41

Dat is toch een normale zaak?
In allerlei functies binnen een bedrijf heb je vaak vanaf dag 1 toegang tot gevoelige gegevens nodig om je job te kunnen uitoefenen.
Denk maar aan boekhouders, sales mensen, product managers, ... die zijn daar allemaal mee bezig.

Contractueel moet dat wel afgeschermd worden natuurlijk, maar iemand toegang ontzeggen draagt en te grote kost in veel gevallen.

supersnathan94 @david-v • 4 juli 2022 14:36

Waarom is dat heel snel? Ik wil bij een nieuwe klus in principe vanaf dag 1 bij productie kunnen. Als ik daar 2.5 maand op zou moeten wachten in het kader van security en vertrouwen dan houd het snel op voor mij. Ik heb niet voor niks een VOG overlegd. Daar heb je het maar mee te doen.

Als er iets omvalt om 2 uur ‘s nachts moet ik er wel binnen 5 minuten bij zijn om het te fiksen, maar het duurt 2,5 maand voor ik er bij zo mogen? Nee zo zijn we niet getrouwd.

Nibble @david-v • 4 juli 2022 17:06

Even vooraf; niet om david af te vallen. Maar zijn reactie is wel het gevolg van een dieper probleem in de huidige maatschappij. Namelijk het niet kunnen accepteren dat iets 100% faal-vrij is.
is 1 maand genoeg, 5, een jaar? Zelfs met een contract en alle borgingen vastleggingen en journalen is er nooit 100% zekerheid. Ik ben zeker wel voor een goede screening, maar zou men er ook voor kunnen kiezen om na een introductieweek gewoon aan het werk te gaan en bij wanprestatie normaal ontslag (net als nu) ten gevolge te brengen en schade te verhalen? Dan hoeven de overige 99% van de wél betrouwbare mensen niet gebukt te gaan onder nog meer regeldruk en worden ze loyaler door het vertrouwen wat in ze gesteld wordt. De illusie van controle is waarom alles niet meer te betalen is, en mensen meer bezig zijn met verantwoorden dan hun werk...

Cergorach

Beveiliging en antivirus

4 juli 2022 10:38

Ook wil het platform nieuwe werknemers beter screenen.

Good luck with that! Dat is natuurlijk alleen maar werkbaar als ze gesnapt en veroordeeld zijn, teveel bedrijven doen geen aangifte en trappen alleen de medewerker de deur uit, een probleem voor iemand anders...

Frame164 @Cergorach • 4 juli 2022 11:32

Er zijn nog veel meer zaken om te kijken of iemand een risico vormt. Denk aan de financiele situatie van een individu, de kringen waarin hij/zij zich bevindt, afwijkingen in het CV, Als bijvoorbeelld iemands levenstijl niet overeenkomt met het salaris dan kan je dat verder onderzoeken. Er hoeft niet direct iets aan de hand te zijn, maar is wel een signaal. En als het allemaal verklaard kan worden is er natuurlijk niets aan de hand.

Cergorach

Beveiliging en antivirus

@Frame164 • 4 juli 2022 12:11

Mag een potentiele werkgever wel die financiele situatie van de potentiele werknemer doorspitten? Laat staan inzicht in het vorig verdiende salaris...

kakanox @Cergorach • 4 juli 2022 15:32

Afhankelijk van het doel wel. Maar in Nederland verloopt dat meestal via een instantie die daar speciaal mee belast is. Voor bepaalde werkzaamheden pluizen ze zelfs je familie na.

Zoop @kakanox • 4 juli 2022 17:55

@Cergorach Dit soort zaken doen ze tenslotte volop als je een lening probeert af te nemen, bijvoorbeeld.

Een werkgever mag, per wet, niet eens de werknemer zijn social media doorspitten, dus ze mogen dit soort financiële analyses vast niet zelf uitvoeren, maar instanties die daarvoor gecertificeerd zijn wel, dus dat gaat dan via zo'n instantie.

downtime @Cergorach • 4 juli 2022 10:58

Er zijn meer manieren om te screenen. Je kunt ook eisen dat de nieuwe medewerker referenties overlegt. En dan bedoel ik niet een papiertje met een verklaring maar naam en telefoonnummer van zijn voorgaande managers. Toen ik mijn huidige baan kreeg moest ik ook referenties van twee voorgaande werkgevers opgeven. En die mensen zijn ook echt gebeld.

Cergorach

Beveiliging en antivirus

@downtime • 4 juli 2022 12:14

Referenties is wel de basics zou ik zeggen, maar ook daar gaat men niet altijd in op dat soort zaken, want je mag echt niet alles vragen of overal antwoord op krijgen. En hoeveel mensen checken daadwerkelijk het nummer dat ze krijgen met de persoon die ze aan de lijn krijgen?

downtime @Cergorach • 4 juli 2022 12:25

Als je om referenties vraagt kun je ook maar beter grondig zijn. Dus misschien eerst per mail contact leggen voordat je belt. Dan heb je al verificatie dat de referent echt bij dat bedrijf werkt. En bij twijfel wil je ook echt die tweede of zelfs derde referent bellen. Drie verschillende mensen dezelfde leugen laten afstemmen is nog best lastig.

downtime @jpsch • 4 juli 2022 11:56

Zeker weten? Ook met het risico dat de nieuwe werkgever jou aanklaagt als later blijkt dat je gelogen hebt en daardoor indirect verantwoordelijk bent voor de schade die de medewerker bij zijn nieuwe werkgever heeft aangericht?

supersnathan94 @downtime • 4 juli 2022 14:40

Het antwoord is nee.

Indien blijkt dat je onjuiste informatie hebt verstrekt ben je schadeplichtig juridisch gezien. De nieuwe werknemer kan dan dus alle schade voortvloeiend uit die referentiecheck verhalen.

kakanox @supersnathan94 • 4 juli 2022 15:30

In Nederland mag je echter ook niet zomaar een slechte referentie geven. Je mag de waarheid vertellen, maar iemand niet in een negatief daglicht stellen. En dat maakt het glad ijs.

Het is aan de referentievrager om de juiste gesloten vragen te stellen.

[Reactie gewijzigd door kakanox op 24 juli 2024 04:55]

SkyStreaker @kakanox • 4 juli 2022 17:51

Het zou tamelijk naief zijn als men denkt dat dit nooit een gekleurd gesprek is, neutraal zijn kan verdomd lastig zijn.

supersnathan94 @kakanox • 4 juli 2022 18:06

Nouja. Wat is een slechte referentie. Al met al is het heel discutabel en zeer slecht om voldoende hard te maken wat nu waaronder valt. Als je onterecht positief bent ben je de sjaak, maar ben je terecht negatief dan ook.

In de rechtspraak geldt als uitgangspunt dat het de voormalig werkgever vrijstaat om informatie te verstrekken als een sollicitant deze werkgever opgeeft als referent. Die informatie kan zowel positief als negatief zijn. Als een werknemer niet wil dat bepaalde informatie door de voormalig werkgever aan de beoogd werkgever wordt verstrekt dan moet dat (door de werknemer) expliciet worden aangegeven bij de voormalig werkgever.

De voormalig werkgever moet uiteraard wel juiste informatie verstrekken. Als dat niet gebeurd dan kan een werkgever aansprakelijk zijn voor de daaruit vloeiende schade (bijvoorbeeld gemiste inkomsten). Daarentegen kan een voormalig werkgever ook schadeplichtig zijn jegens de beoogd werkgever als hij relevantie informatie achterhoudt. Kortom: het verstrekken van onjuiste informatie leidt tot schadeplichtigheid.

Al met al dus mega complex, want als ik bij een werkgever aangeef dat ie iets niet mag vertellen voor referentie dan mag ie dat niet. Als echter blijkt dat hij informatie heeft achtergehouden omdat ik dat heb gevraagd dan kan hij aangeklaagd worden, maar als ie het wel doet dan kan ik hem weer aanklagen. Al met al is er geen enkele incentive om een referentie af te geven als werkgever als een medewerker niet goed vertrokken is. Dus tenzij het een superpositieve referentie is zou ik er als voormalig werkgever niet eens aan beginnen.

kakanox @supersnathan94 • 4 juli 2022 18:51

Ik heb inderdaad 1 keer in die situatie gezeten, en toen heb ik aan de nieuwe werkgever-to-be aangegeven dat ik niet graag referenties geef. Daarbij in het midden latend of ik foutief de meervoudsvorm gebruikte, of dat ik voor deze ex-collega geen referentie wilde geven. De boodschap kwam wel over.

MM99 4 juli 2022 11:39

Als dit HackerOne kan overkomen, kan dit dus letterlijk elk bedrijf overkomen. HackerOne is één van de prestigieuze security bedrijven van de wereld.

Wel erg netjes dat ze dit zo snel al naar buiten brengen.

Bossie @MM99 • 4 juli 2022 12:00

Het buitenkant van een bedrijf zegt zeer weinig over de binnenkant.

qlum

4 juli 2022 13:45

Bekend verhaal,

Ooit heb ik op mijn werk ook iemand gehad die vergelijkbaar handelde.

Hij verstuurde spookfacturen naar klanten, of zelfs mensen die nooit klant zijn geworden. Hij haalde ook graag broodjes voor het team, waarbij hij iedereen netjes liet betalen en het vervolgens op rekening voor het bedrijf liet zetten.

Het enige wat je kunt doen is vooraf personeel goed screenen voor je ze aannement en alert blijven voor dit soort misbruik. Gelukkig zijn dit soort mensen zeldzaam, maar verder is het toch echt lastig om er op tijd achter te komen.

kowapanga 4 juli 2022 15:53

rzlr was niet de gebruikersnaam die de werknemer in kwestie gebruikte voor zijn werkzaamheden, deze account was speciaal aangemaakt voor de malafide praktijken.

Dat triagers wel eens informatie delen met derde is niet te voorkomen maar hoe de persoon in kwestie dacht hier mee weg te kunnen komen snap ik niet.

Ik heb ook een mail gehad van HackerOne en 90% van de rapporten zijn behandel door een bepaalde triager dus het is wel duidelijk voor ingewijden wie het is.
Het baart mij echter zorgen dat de persoon in kwestie niks te maken had met de andere 10% van de rapporten en schijnbaar deze klakkeloos kon inzien zonder dat er intern bij HackerOne een alarmbel afging.

[Remmes] 4 juli 2022 21:34

"Hij of zij werkte 2,5 maand bij HackerOne."

Dan werk je nog net geen 3 maand bij een bedrijf en dan ga je al zulke dingen doen en dat bij zo'n bedrijf... dan ben je toch ook een clown.

onno oliver 5 juli 2022 19:28

Dit gebeurd ook bij "internationale securty" events waar de speaker expliciet gevraagd wordt of de talk een zero day bevat. Geen zeroday dan niet op het hoofdpodium enz.

Natuurlijk handig zijn om van te voren met een fabrikant te onderhandelen of iets verbeterd kan worden maar meestal zit er een verdien model achter.

Op dit item kan niet meer gereageerd worden.

HackerOne-werknemer stal kwetsbaarheidsmeldingen en claimde zelf bugbounty's

Lees meer

'Ze noemen simpele bugs Inti-bugs'

Reacties (53)

Sorteer op:

Weergave: