Eu não tinha pensando por esse lado... fraude interna é algo muito comum (já sof · filipedeschamps

Em resposta a Funcionário da HackerOne é pego roubando relatórios de vulnerabilidade produzidos por outros pesquisadores de segurança

filipedeschamps

2 anos atrás

Eu não tinha pensando por esse lado... fraude interna é algo muito comum (já sofri por uma que me dá pesadelos até hoje), mas no caso da HackerOne ela é um centralizador de oportunidades para fraudes, e ter uma fraude interna nesse centralizador é algo massivo.

O que me deixa perguntando, como que esse funcionário tinha acesso aos reports de vários outros clientes? Era um cliente privilegiado? Não entendi pela matéria original, dizendo que ele tinha uma conta "fantoche". Eu usei HackerOne no passado pelo lado do cliente, não pelo lado de quem reporta, e não sei se quem reporta tem acesso aos outros relatos... pois não deveria, correto?

tcarreira

2 anos atrás

Eu entendi que a conta "fantoche" era usada para reivindicar as recompensas. Sendo fantoche no sentido que ele se fazia passar por outra pessoa para reivindicar a recompensa.

como que esse funcionário tinha acesso aos reports de vários outros clientes? Era um cliente privilegiado?

Mas esta é a pergunta que eu gostaria de ver respondida.

filipedeschamps

Autor

2 anos atrás

tcarreira vi que você fez uma publicação de testes em ambiente de Homologação, e por algum motivo estou recebendo 404 (vi que fez duas, com o mesmo slug, onde uma não está acessível, não sei porque, então forcei colocar ela como draft).

De qualquer forma, peço que não use Produção para testar, pois você pode fazer testes em Homologação, por exemplo, essa é a última URL: https://tabnews-git-fix-tabcoins-localstorage-tabnews.vercel.app/

PS: esse comentário está super off-topic ao post do Guga, mas essa foi a forma mais rápida que encontrei de lhe contatar 🤝