バグ報奨金プラットフォームのHackerOne、バグレポートを持ち出した社員を解雇

　バグ報奨金プラットフォーム最大手のHackerOneは、外部の研究者から提出されたバグレポートを持ち出して別の場所に提出し、個人的利益を得ようとしていた社員を解雇したと発表した。

　HackerOneは、大企業や政府機関がバグ報奨金の管理に活用しているプラットフォームを運営している企業の1つだ。同社は、ソフトウェアのバグレポートをホワイトハッカーから受け取り、社内で選別し、バグの報告者に報奨金を支払うかどうかを判断している。

　報奨金はかなりの金額に上る。2012年のサービス開始から2020年までに、HackerOneは18万1000件を超える脆弱性の報告者に対し、合計1億ドル（約136億円）以上を支払ってきた。2021年には、HackerOneの顧客であるZoom Video Communicationsが、同社を通じて140万ドル（約1億9000万円）を支払っている。

　HackerOneの最高ハッキング責任者（CHO）で最高情報セキュリティ責任者（CISO）を務めるChris Evans氏は米国時間7月2日付のブログ記事で、多数の顧客の報奨金プログラムでバグの選別を担当していた元社員が、4月4日から6月23日までにセキュリティレポートへ不正にアクセスし、その情報をHackerOneのプラットフォーム外の場所に漏らして報奨金を請求していたと説明した。

　HackerOneは1月に4900万ドル（約66億6000万円）の資金を調達しており、調達額は合わせておよそ1億6000万ドル（約217億円）となった。同社の顧客には、米国防総省、Dropbox、General Motors、GitHub、Goldman Sachs、Google、Hyatt Hotels Corporation、Microsoft、シンガポール国防省、任天堂、PayPal Holdings、Starbucks、Twitter、Yahooなどが名を連ねている。