Ele utilizava a própria plataforma de recompensas de bugs para reivindicar, anonimamente, recompensas financeiras dos clientes afetados, como se ele fosse a pessoa que havia descoberto a vulnerabilidade.
Em apenas dois meses – ele foi contratado em abril deste ano – sete casos foram descobertos.
Eu não tinha pensando por esse lado... fraude interna é algo muito comum (já sofri por uma que me dá pesadelos até hoje), mas no caso da HackerOne ela é um centralizador de oportunidades para fraudes, e ter uma fraude interna nesse centralizador é algo massivo.
O que me deixa perguntando, como que esse funcionário tinha acesso aos reports de vários outros clientes? Era um cliente privilegiado? Não entendi pela matéria original, dizendo que ele tinha uma conta "fantoche". Eu usei HackerOne no passado pelo lado do cliente, não pelo lado de quem reporta, e não sei se quem reporta tem acesso aos outros relatos... pois não deveria, correto?
Eu entendi que a conta "fantoche" era usada para reivindicar as recompensas. Sendo fantoche no sentido que ele se fazia passar por outra pessoa para reivindicar a recompensa.
como que esse funcionário tinha acesso aos reports de vários outros clientes? Era um cliente privilegiado?
Mas esta é a pergunta que eu gostaria de ver respondida.
tcarreira vi que você fez uma publicação de testes em ambiente de Homologação, e por algum motivo estou recebendo 404 (vi que fez duas, com o mesmo slug, onde uma não está acessível, não sei porque, então forcei colocar ela como draft).
De qualquer forma, peço que não use Produção para testar, pois você pode fazer testes em Homologação, por exemplo, essa é a última URL: https://tabnews-git-fix-tabcoins-localstorage-tabnews.vercel.app/
PS: esse comentário está super off-topic ao post do Guga, mas essa foi a forma mais rápida que encontrei de lhe contatar 🤝