Eu não tinha pensando por esse lado... fraude interna é algo muito comum (já sofri por uma que me dá pesadelos até hoje), mas no caso da HackerOne ela é um centralizador de oportunidades para fraudes, e ter uma fraude interna nesse centralizador é algo massivo.
O que me deixa perguntando, como que esse funcionário tinha acesso aos reports de vários outros clientes? Era um cliente privilegiado? Não entendi pela matéria original, dizendo que ele tinha uma conta "fantoche". Eu usei HackerOne no passado pelo lado do cliente, não pelo lado de quem reporta, e não sei se quem reporta tem acesso aos outros relatos... pois não deveria, correto?