27.07.2016

$20,000 vyplaceno za nalezení zranitelnosti na stránkách PornHub.com

Platit penetračním testerům a nebo později platit za opravu systému po napadení hackery? Poslední dobou se firmy přiklánějí k první možnosti. Kromě senzační zprávy originální článek také obsahuje velmi detailní a technický popis celé zranitelnosti. Vřele doporučujeme všem náročným a zvídavým čtenářům.

Cover

Server PornHub se před několika měsíci přidal k ostatním společnostem, které nabízejí na webové stránce HackerOne.com odměnu za nalezení bezpečnostních chyb a zranitelností v jejich systému. Kromě nesčetných menších odměn v řádu stovek až tisíců dolarů nyní vyplatil částku 20 000 dolarů, tedy v přepočtu téměř půl milionu korun za report týmu tří bezpečnostních expertů cutz, haxonaut a evonide.

Evonide, celým jménem Ruslan Habalov, na svém blogu popisuje detailní průběh celého procesu. Samotná chyba se nenacházela v kódu týmu Pornhubu, ale přímo v jazyku PHP (tzv. use-after-free zranitelnost) v garbage collection algoritmu pro automatickou správu a uvolňování nepoužívané paměti. Ta dále s pomocí zranitelné PHP funkce unserialize() (nechvalně známé pro nesčetné množství chyb) umožňovala vzdálené spuštění škodlivého kódu a získání přístupu k celé databázi soukromých uživatelských dat.

Jak sám Ruslan několikrát uvedl, jednalo se o dlouhodobou a velmi náročnou práci, uvedená odměna je tedy v adekvátní výši. Nic to však nemění na faktu, že se podle statistik jednalo o jednu z dosud nejvyšších vyplacených odměn na portálu HackerOne.

Více na www.evonide.com

Kam dál?