HackerNews 编译，转载请注明出处： 漏洞赏金平台HackerOne正在通知数百名员工，其个人数据在第三方美国福利管理商Navia遭黑客入侵后被窃取。 HackerOne管理着超过1950个漏洞赏金项目，为通用汽车、高盛、Anthropic、GitHub、Uber等知名企业，以及美国国防部等政府机构提供漏洞披露、渗透测试和代码安全服务。 Navia是美国领先的消费者导向福利管理商，服务超过1万家雇主。 在向缅因州总检察长办公室提交的申报文件中，HackerOne披露此次数据泄露影响了287名员工。 “据我们目前掌握的信息，由于存在对象级授权失效（BOLA）漏洞，未知行为体于2025年12月22日至2026年1月15日期间访问了Navia数据，”该公司表示。”2026年1月23日，Navia发现其环境中存在可疑活动。Navia于2月20日向受影响公司发送了通知函。” 泄露信息包括：社会安全号码、姓名、地址、电话、出生日期、邮箱地址、参保日期、生效日期及终止日期——涵盖每位受影响员工及其家属。 HackerOne建议受影响员工警惕可疑信息，监控财务账户异常活动，并使用Navia提供的12个月免费身份保护和信用监控服务。”如果密码或密码提示/安全问题涉及上述个人数据，建议一并更改，”公司补充道。 Navia本月早些时候披露事件时强调，数据泄露未影响受影响个人的理赔或财务信息。 然而，泄露的数据足以让威胁行为体对事件受害者发起钓鱼和社交工程攻击。 尽管Navia将此事件标记为数据窃取攻击，但目前尚无网络犯罪团伙或勒索软件组织宣称对此次入侵负责。 消息来源：bleepingcomputer.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

Crypto.com，一家全球领先的加密货币平台，拥有超过1亿用户，近日宣布与HackerOne合作，对其漏洞赏金计划进行重大升级。这一举措加强了该公司在不断发展数字资产领域中，对安全和客户保护的承诺。 升级后的计划拥有创纪录的200万美元奖励池，使其成为HackerOne平台上所有行业中提供的最大赏金。这一前所未有的金额凸显了Crypto.com在发现和解决潜在漏洞方面的承诺，以防被恶意行为者利用。 Crypto.com首席执行官Kris Marszalek表示：“安全和合规是我们Crypto.com一切工作的基石。随着我们业务和行业的不断发展，我们必须要专注于我们的核心原则，而这个新的赏金计划正是通过设定新标准来做到这一点。” 通过激励安全研究人员识别和报告漏洞，Crypto.com旨在积极加强其平台的防御能力，并确保用户资产的安全。 HackerOne首席执行官Kara Sprague表示：“当你运营一个服务于超过1亿客户的全球应用程序时，在恶意行为者之前发现关键安全漏洞对于系统完整性和客户信任至关重要。” C rypto.com的首席信息安全官Jason Lau强调了公司在持续改进安全保证方面的承诺。Lau说：“我们一直尊重并与道德黑客社区合作，作为我们安全团队的一部分。通过这一里程碑深化与HackerOne的关系，并设立这一标志性的赏金，凸显了我们致力于增强保障和消费者保护的承诺。” Crypto.com在安全和合规方面的最新举措，建立在其已经令人印象深刻的业绩记录之上。该平台已获得包括SOC2 Type 2、PCI DSS 4.0、ISO 27017和ISO 27019在内的多项认证，展示了其遵循最高行业标准的承诺。 这个200万美元的漏洞赏金计划是Crypto.com主动安全方法的明确信号，表明其致力于为用户提供一个安全可靠的平台。通过与道德黑客社区的互动，该公司在建立一个更安全的加密货币生态系统方面迈出了重要一步。 要了解有关Crypto.com漏洞赏金计划的更多信息以及如何参与，请访问hackerone.com/crypto。     转自安全客，原文链接：https://www.anquanke.com/post/id/302482 封面来源于网络，如有侵权请联系删除

知名网络安全公司HackerOne近日宣布，自2012年成立以来，其漏洞赏金计划已向白帽和漏洞研究人员发放了超 3 亿美元的奖励。 HackerOne提供了一个漏洞赏金平台，将企业与白帽的安全专业知识、资产发现、持续评估和流程增强相结合，以发现和弥补数字攻击面中的漏洞。这些白帽可凭借发现的漏洞和弱点换取奖励。 根据HackerOne发布的《2023 年黑客力量安全报告》，有30名优秀的白帽每人获得了超 100 万美元的奖励，而其中最厉害的白帽奖励超过了400万美元。 该公司强调，在高额奖励支付承诺的推动下，加密货币和区块链实体继续受到白帽的广泛关注。今年，加密货币公司支付的最大赏金为10.05万美元。 今年该平台上漏洞平均奖金为 500 美元，有10%的漏洞奖金超过了 3000 美元。对于高危和高严重性缺陷，所有行业的平均奖金额为 3700 美元，有10%的奖金超过了1.2万美元。 参与 HackerOne 计划的白帽中有61%表示会利用生成式人工智能工具，以更便捷地编写报告、代码并减少语言障碍。 但同时，AI本身也开始成为挖掘的对象，55% 的白帽表示预计 AI 工具将成为未来几年的重要目标。 道德黑客重点关注的领域 (图源：HackerOne) 此外，公司也调研了白帽提交漏洞的动机，以及会有哪些原因导致他们不再使用HackerOne。无疑，能够获得赏金奖励是最大动机，占比73%，而响应时间慢成为最主要的负面因素，占比60%。   转自freebuf，原文链接：https://www.freebuf.com/news/382199.html 封面来源于网络，如有侵权请联系删除

一名HackerOne员工窃取了通过漏洞赏金平台提交的漏洞报告并将其披露给受影响的客户以索取经济奖励。该公司于当地时间周五表示，这名流氓员工联系了7名客户并在少数披露中获取了赏金。 HackerOne是一个协调漏洞披露的平台并为提交安全报告的漏洞猎手提供货币奖励的中介。 抓住罪魁祸首 6月22日，HackerOne回应了一个客户的请求，通过一个使用“rzlr”工具的人的非平台通信渠道调查一个可疑的漏洞披露。 该客户注意到，同样的安全问题之前已经通过HackerOne提交。 漏洞碰撞即多个研究人员发现并报告相同的安全问题是经常发生的；在这种情况下，真正的报告和来自威胁行为者的报告有明显的相似之处从而促使人们仔细观察。 HackerOne的调查确定，其一名员工自4月4日加入公司至6月23日有两个多月的时间可以访问该平台并联系了七家公司，报告已经通过其系统披露的漏洞。 威胁行为者谋取了报酬 该公司表示，流氓雇员为他们提交的一些报告获得了报酬。这使得HackerOne能跟踪钱的去向并确定肇事者是其为“众多客户项目”分流漏洞披露的工作人员之一。 HackerOne披露称：“该威胁行为者创建了一个HackerOne的傀儡账户并在少数几个披露中获得了赏金。在发现这些赏金可能是不正当的后，HackerOne联系了相关的支付供应商，他们跟我们合作以提供了更多的信息。” 分析该威胁者的网络流量发现了更多的证据，从而将他们在HackerOne上的主要账户和傀儡账户联系起来。 在开始调查后不到24小时，该漏洞赏金平台确定了威胁行为者、终止了他们的系统访问并在调查期间远程锁定了他们的笔记本电脑。 在接下来的几天里，HackerOne对嫌疑人的电脑进行了远程取证成像和分析并完成了对该员工在工作期间的数据访问日志的审查，以此确定了该威胁行为人与之互动的所有漏洞赏金项目。 6月30日，HackerOne终止了对该威胁行为者的雇用。 “根据跟律师的审查，我们将决定对此事进行刑事移交是否合适。我们继续对前雇员产生的日志和使用的设备进行取证分析，” HackerOne说道。 HackerOne指出，其前雇员在跟客户的互动中使用了“威胁性”和“恐吓性”语言，另外还敦促客户在收到以攻击性语气进行的披露时跟公司联系。 该公司表示，在绝大多数情况下，它没有证据表明漏洞数据被滥用。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1287967.htm 封面来源于网络，如有侵权请联系删除