Brasileiro encontra brechas de segurança no Pornhub e no Redtube

Após dois meses de pesquisa, um brasileiro identificado como Pedr4uz encontrou vulnerabilidades em sites pornográficos populares, como Pornhub, Redtube, YouPorn e Tube8, todos de propriedade da MindGeek. No total, foram descobertas cinco falhas baseadas em injeção de código pelo lado do usuário.

Como explica o pesquisador, invasores precisavam apenas gerar um link falso. Assim, quando o usuário clicasse, seria liberado o acesso a todas as sessões, contas de usuário, bem como registros das atividades nos sites, como dados de cartão de crédito utilizados em compras.

“A única coisa que era necessária é que o usuário clicasse no link [...] Se eu mandasse um link adulterado para um funcionário de um desses sites e ele clicasse, a sessão dele seria minha [...] Essas brechas também poderiam ser utilizadas para roubar contas de funcionários, com privilégios de administrador no site”, explicou Pedr4uz.

Como recompensa, a plataforma de bug bounty HackerOne pagou US$ 1000 (cerca de R$ 5.370 na cotação atual), referente a descoberta de dois bugs no Redtube, um no Pornhub e outro no YouPorn.

Firewall do Tube8 estava ativado

Você pode estar se perguntando: se o pesquisador encontrou cinco falhas, por que ele foi recompensado por apenas quatro delas? Embora o Tube8 também apresentasse a vulnerabilidade identificada por Pedr4uz, o firewall do site estava funcionando corretamente, impedindo que as requisições de invasores fossem atendidas.

“Por mais que era possível controlar o que seria refletido na página do usuário, o firewall barrava as minhas requisições”, explica. Com isso, a HackerOne desconsiderou a descoberta no site.

Além dessas vulnerabilidades, Pedr4uz informou outros erros específicos do YouPorn ainda mais graves do que os demais, uma vez que permitem ataques como “Cache Poisoning” e “DNS Spoofing”, direcionados ao servidor da empresa. O erro, contudo, já era conhecido pela empresa, que está realizando as correções necessárias.


 

---------------------------------------------------------------------------------------------------------------------    Enfim, gosta do Portal Vovo GaTu😍? Fique por dentro das noticias, e nao perca nada!😄          
Contamos consigo! Siga-nos nas redes sociais. Telegram,WhatsApp, Twitter, Facebook, Canal de Noticias no Discord ou no Pinterest, há, e nos adicione ãos favoritos do seu navegador.
🔺Lembre-se, nós não aparecemos na pesquisa do Google!
🔻

 ---------------------------------------------------------------------------------------------------------------------

Fonte: The Hack
أحدث أقدم