pesquisador descobriu

Usuários de sites adultos podem ter dados expostos por falha de segurança; veja quais são 

Um pesquisador brasileiro identificado como Pedr4uz encontrou vulnerabilidades na segurança nos códigos de alguns sites adultos populares.

Um pesquisador brasileiro identificado como Pedr4uz encontrou vulnerabilidades na segurança nos códigos de alguns sites adultos populares, como Pornhub, YouPorn, Redtube e Tube8, todos de responsabilidade da MindGeek. Foram encontradas cinco vulnerabilidades, todas baseadas em injeção de código pelo lado do usuário, após dois meses de pesquisa por parte do estudioso.

Segundo o pesquisador, o potencial invasor só precisava gerar um link falso, quando o usuário clicasse, o atacante teria acesso a todas as sessões, contas de usuário e funcionários, além de registros de todas as atividades no site, incluindo dados de cartão de crédito usados em compras dentro das plataformas.

Essa vulnerabilidade deixava expostos até mesmo funcionários desses sites, o que poderia dar ao invasor acesso às sessões desses colaboradores e a possibilidade de roubar contas de outros funcionários, inclusive, com privilégios de administrador do site. Pedr4uz recebeu uma recompensa de US$ 1000 (R$ 5.370 na cotação atual), através da iniciativa HackerOne. Referente a dois bugs no Redtube, um no Pornhub e outro no YouPorn.

Firewall do Tube8 estava funcionando
O Tube8 também possuía essa vulnerabilidade de segurança , entretanto, Pedr4uz afirma que, diferente dos demais, este site tinha um firewall que estava funcionando corretamente, o que fazia com que as requisições do invasor não fossem atendidas. Por conta disso, a recompensa para o encontro dos bugs do Tube8 não foi considerada.

Além desta vulnerabilidade , Pedr4uz reportou alguns outros erros, estes específicos do YouPorn, para a empresa que gerencia o bug bounty do site. Estas outras falhas são ainda mais graves, permitindo ataques mais sérios e perigosos, como “Cache Poisoning” e “DNS Spoofing”, direcionados ao servidor da empresa.

Porém, estas vulnerabilidades foram consideradas como duplicadas, que são quando um mesmo erro é reportado por mais de um pesquisador e a empresa ainda está realizando as devidas correções.

Fonte: POLÊMICA PARAÍBA
Créditos: IG