Przejdź na

Warto szukać dziur, PornHub zapłacił 20 tys. dolarów za groźne błędy w PHP

Cyberataki zdarzają się coraz częściej, a ich skutki są coraz bardziej bolesne, nie tylko dla głównej ofiary, ale również dla użytkowników korzystających z usług zaatakowanego. Ważne jest więc zapewnienie wysokiego poziomu bezpieczeństwa. Słynny serwis wideo PornHub stworzył własny program, w ramach którego będzie płacił za znalezione luki i jak się okazuje, będzie płacił całkiem sporo.

Obraz
Mateusz Budzeń

Program mający zwiększyć bezpieczeństwo PornHuba został uruchomiony dwa miesiące temu. Nagrody za znalezione błędy miały zachęcić hakerów i łowców nagród do poszukiwań. Dla właścicieli zwiększenie bezpieczeństwa jest niezwykle ważne. Strona jest jedną z najpopularniejszych w Sieci, co stanowi łakomy kąsek dla cyberprzestępców.

Obraz

Właśnie zostały wypłacone pierwsze nagrody. Zespół trzech badaczy otrzymał aż 20 tysięcy dolarów, to więcej niż płaci chociażby Fiat za znalezienie błędów w oprogramowaniu samochodów. Odkrywcom udało się zdalnie wykonać swój kod na PornHubie. Wykorzystali w tym celu podatności 0-day w samym silniku PHP, języka, w którym napisana jest strona internetowa PornHuba.

Wykryte podatności typu use-after-free dotyczą wszystkich wersji PHP od 5.3 wzwyż i tkwią w algorytmie odśmiecania pamięci. Udało się je zdalnie wyeksploitować wykorzystując funkcję deserializacji PHP.

Atak pozwolił badaczom na zdobycie informacji o konkretnym użytkowniku, śledzenie jego zachowania na stronie, a nawet z wykorzystaniem techniki Return-Oriented-Programming na uzyskanie uprawnień roota i dostęp do całej bazy użytkowników PornHub.

PornHub za znalezienie tak poważnego zagrożenia wypłacił 20 tysięcy dolarów. Dodatkowo badacze otrzymali 2 tysiące dolarów od Internet Bug Bounty HackerOne za znalezienie luk zero-day w PHP. Błędy zostały naprawione 21 czerwca, PHP zaktualizowane z repozytoriów bezpieczeństwa po tym dniu na atak jest już odporne

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Fałszywy SMS. Oszuści podszywają się pod ZUS
Fałszywy SMS. Oszuści podszywają się pod ZUS
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
Nowości w mObywatelu. Dodano trzy funkcje
Nowości w mObywatelu. Dodano trzy funkcje
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Atak hakerski na Booking. Zdobyli dane klientów
Atak hakerski na Booking. Zdobyli dane klientów
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Zaktualizuj Windowsa: wydano kwietniowe poprawki
Zaktualizuj Windowsa: wydano kwietniowe poprawki
ZACZEKAJ! ZOBACZ, CO TERAZ JEST NA TOPIE 🔥