Se riesci a segnalare bug gravi sul sito di Pornhub, ti pagano

Se riesci a segnalare bug gravi sul sito di Pornhub, ti pagano

Pornhub fa parlare di sè anche in ambito di sicurezza informatica almeno da qualche giorno: ha infatti lanciato un concorso per scoprire bug di sicurezza informatica nei propri siti web (pornhub.com, altri tre sottodomini, le app ufficiali per iOS e Android e l’ulteriore dominio pornhubpremium.com). L’idea di questo genere di iniziative, in generale, è quella di potenziare la sicurezza informatica degli stessi, facendo in modo di collaborare attivamente con esperti del settore per migliorarla ogni giorno.

Sono stati investiti ben 20,000 dollari per l’iniziativa, da spendere proporzionalmente alla gravità dei bug rilevati e secondo questa tabella orientativa. I bug vanno segnalati e discussi obbligatoriamente mediante la piattaforma del sito hackerone.com.

Tipo di vulnerabilitàCore Pornhub *All Other
Remote Shell / Command Execution$15,000$5,000
Remote Code Execution$10,000$2,500
SQL Injection (with output)$5,000$2,500
Significant Authentication Bypass$5,000$1,000
Local file Inclusion$2,500$1,000
SQL Injection (blind)$2,500$1,000
Insecure Direct Object References$1,500$750
Server Side Request Forgery$1,500$750
Stored Cross Site Scripting$1,500$500
Other Cross Site Scripting$250$50

I casi più considerati – in un range da 50 a 15,000 dollari – sono quelli di esecuzione arbitraria di shell e di comandi da remoto, seguiti dalla classica SQL injection, bypass di autenticazione, caricamento di file da remoto e così via.

Non è ovvio capire perchè la società in questione sia spinta ad investire in questa direzione, ma è facile immaginare che sia coinvolto (almeno un minimo) un criterio di massimizzazione della sicurezza e limitazione dei casi di disclosure irresponsabile: può capitare che un bug informatico di sicurezza, infatti, venga divulgato indiscriminatamente, e questo contest fa in modo che questa possibilità sia relativamente contenuta. Inoltre, da regolamento, i dettagli dei bug vanno discussi solo all’interno della piattaforma, entro 24 ore dalla scoperta e senza poter svelare nulla all’esterno (pena la squalifica). Non sono inoltre ammessi stress test troppo corposi o uso di tool automatici di verifica, al fine di evitare il degrado delle prestazioni del sito.

Negli ultimi 10 giorni rispetto alla pubblicazione di questo articolo, Pornhub ha speso quasi 10,000 dollari per risolvere problemi di sicurezza nei propri siti segnalati da altri utenti. Non tutte le segnalazioni di bug vengono effettivamente retribuite (ci sono alcune eccezioni e, in generale, viene considerata solo la prima segnalazione in assoluto di uno stesso errore), per cui valutate bene se valga la pena di investire del tempo in questa direzione.

(fonte)

Photo by walknboston

Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Ti potrebbero interessare (Sicurezza informatica):

Cerca altro nel sito

Clicca sul box, e scegli la sezione per vederne i contenuti.