Program mający zwiększyć bezpieczeństwo PornHuba został uruchomiony dwa miesiące temu. Nagrody za znalezione błędy miały zachęcić hakerów i łowców nagród do poszukiwań. Dla właścicieli zwiększenie bezpieczeństwa jest niezwykle ważne. Strona jest jedną z najpopularniejszych w Sieci, co stanowi łakomy kąsek dla cyberprzestępców.
Właśnie zostały wypłacone pierwsze nagrody. Zespół trzech badaczy otrzymał aż 20 tysięcy dolarów, to więcej niż płaci chociażby Fiat za znalezienie błędów w oprogramowaniu samochodów. Odkrywcom udało się zdalnie wykonać swój kod na PornHubie. Wykorzystali w tym celu podatności 0-day w samym silniku PHP, języka, w którym napisana jest strona internetowa PornHuba.
Wykryte podatności typu use-after-free dotyczą wszystkich wersji PHP od 5.3 wzwyż i tkwią w algorytmie odśmiecania pamięci. Udało się je zdalnie wyeksploitować wykorzystując funkcję deserializacji PHP.
Atak pozwolił badaczom na zdobycie informacji o konkretnym użytkowniku, śledzenie jego zachowania na stronie, a nawet z wykorzystaniem techniki Return-Oriented-Programming na uzyskanie uprawnień roota i dostęp do całej bazy użytkowników PornHub.
PornHub za znalezienie tak poważnego zagrożenia wypłacił 20 tysięcy dolarów. Dodatkowo badacze otrzymali 2 tysiące dolarów od Internet Bug Bounty HackerOne za znalezienie luk zero-day w PHP. Błędy zostały naprawione 21 czerwca, PHP zaktualizowane z repozytoriów bezpieczeństwa po tym dniu na atak jest już odporne