概要

HackerOneは、脆弱性調整とバグボウンティプラットフォームのリーダーとして知られる企業で、最近、同社の従業員が影響を受けたデータ漏洩を公式に確認しました。このセキュリティインシデントは、HackerOneの内部ネットワークやインフラストラクチャではなく、サードパーティのサービスプロバイダーであるNaviaに対する標的型サイバー攻撃を通じて発生しました。

データ漏洩の詳細

最近、Maine州司法長官に提出されたデータ漏洩通知によると、不正なアクターが昨年末にNaviaの外部システムを侵害し、セキュリティ制御をバイパスしました。脅威アクターは12月22日から1月15日の間に、侵入したネットワークへのアクセスを維持しました。

安全チームは1月23日にこの外部システムの侵害を発見し、直ちに不正なアクセス範囲を調査するための法医学的な調査を開始しました。影響を受けたシステムとデータログについて徹底的にレビューした後、被害者に対して正式な書面通知が3月17日に送付されました。

影響を受けた個人

この漏洩は主にNaviaによって管理されていたHackerOneの従業員の情報に影響を与えました。具体的には、287人の個人が影響を受けており、その中には名前と他の重要な個人識別子が含まれています。

対応策

HackerOneは、このデータ漏洩に対応するため、Naviaに補償措置としてKrollのクレジットモニタリングサービスを提供しています。影響を受けた従業員は、これらの保護サービスへの登録と潜在的なフィッシング攻撃に対する警戒心を持つことを強く推奨されています。

教訓

このインシデントは、サプライチェーンの脆弱性が組織に深刻な影響を与える可能性があるという重要な警告を発しています。現代のサイバーセキュリティフレームワークにおいて、継続的なサプライヤーリスク評価が不可欠であることを改めて強調します。

元記事: https://gbhackers.com/hackerone-confirms-employee-data-stolen/