Pesquisador brasileiro descobre falhas de segurança no Pornhub e no Redtube

Views: 143
0 0
Read Time:1 Minute, 42 Second

Um pesquisador brasileiro identificado como Pedr4uz encontrou vulnerabilidades na segurança nos códigos de alguns sites pornográficos populares, como Pornhub, YouPorn, Redtube e Tube8, todos de responsabilidade da MindGeek. Foram encontradas cinco vulnerabilidades, todas baseadas em injeção de código pelo lado do usuário, após dois meses de pesquisa por parte do estudioso. 

Segundo o pesquisador, o potencial invasor só precisava gerar um link falso, quando o usuário clicasse, o atacante teria acesso a todas as sessões, contas de usuário e funcionários, além de registros de todas as atividades no site, incluindo dados de cartão de crédito usados em compras dentro das plataformas. 

Essa vulnerabilidade deixava expostos até mesmo funcionários desses sites, o que poderia dar ao invasor acesso às sessões desses colaboradores e a possibilidade de roubar contas de outros funcionários, inclusive, com privilégios de administrador do site. Pedr4uz recebeu uma recompensa de US$ 1000 (R$ 5.370 na cotação atual), através da iniciativa HackerOne. Referente a dois bugs no Redtube, um no Pornhub e outro no YouPorn.

Ataque cibernético

Firewall do Tube8 estava funcionando

O Tube8, também possuía essa vulnerabilidade de segurança, entretanto, Pedr4uz afirma que, diferente dos demais, este site tinha um firewall que estava funcionando corretamente, o que fazia com que as requisições do invasor não fossem atendidas. Por conta disso, a recompensa para o encontro dos bugs do Tube8 não foi considerada. 

Além desta vulnerabilidade, Pedr4uz reportou alguns outros erros, estes específicos do YouPorn, para a empresa que gerencia o bug bounty do site. Estas outras falhas são ainda mais graves, permitindo ataques mais sérios e perigosos, como “Cache Poisoning” e “DNS Spoofing”, direcionados ao servidor da empresa. 

Porém, estas vulnerabilidades foram consideradas como duplicadas, que são quando um mesmo erro é reportado por mais de um pesquisador e a empresa ainda está realizando as devidas correções. 

FONTE: OLHAR DIGITAL

Previous post Yandex, o ‘Google russo’, tem 5 mil contas de e-mail violadas por funcionário
Next post Apenas 16% das empresas brasileiras aumentaram orçamento em cibersegurança desde o início da pandemia

Deixe um comentário