19-летний хакер под ником Revolver (аккаунт 1x0123 в твиттере) заявил о взломе порносайта Pornhub и теперь предлагает всем желающим купить доступ к серверу за $1000. Это не такая высокая цена для сайта, куда заходят 60 млн посетителей в сутки.В доказательство юноша опубликовал два скриншота.
Хакер также выразил своё отношение к недавно объявленной программе Pornhub по выплате вознаграждений за найденные уязвимости. «Я больше не сообщаю об уязвимостях. Иди в подполье или сваливай. #FuckBugBounty», — сказал он.
Revolver пояснил, что в прошлом неоднократно сообщал о багах, но не получал ответа от компаний, так что теперь не хочет сообщать им своё настоящее имя.
Хакер сказал, что залил шелл и получил доступ к админке, так что теперь полностью контролирует сервер.
Он упомянул, что использовал уязвимость в скрипте для профилей пользователей, этот скрипт обрабатывает загруженные в профиль фотографии. Очевидно, под видом фотографии ему удалось залить и запустить на исполнение свой код.
Представители Pornhub пока отказываются от комментариев, но в твиттере сказали, что ведут расследование и пока не похоже, что хакер получил доступ к продакшн-серверу.
Пока Pornhub ведёт расследование, парень говорит, что продал доступ уже трём клиентам.
Revolver также сказал, что к нему в твиттере обратились представители Pornhub. Он послал их на три буквы, добавив при этом, что если дадут премиум-аккаунт на Pornhub, то готов помочь закрыть уязвимость. Ответа пока нет.
Revolver в последнее время становится знаменитостью. Месяц назад он сообщил о баге на сайте Фонда за свободу прессы (Freedom of the Press Foundation), тогда сам Эдвард Сноуден публично поблагодарил его.
Комментарии (51)
kholmukhamedovme
15.05.2016 23:21+3Он уже успел продать.
By Sunday afternoon, 1x0123, who goes by the handle Revolver when communicating via XMPP, confirmed that he had sold access to Pornhub to three people.
«2 guys with shell, 1 guy for a command injection script,» he told Salted Hash.
Pornhub contacted Revolver for more information. He offered to share those details, and help patch the vulnerability that allowed such access, for total cost of $5,000 USD. It isn't clear if the adult entertainment giant agreed to those terms.
Gorodnya
16.05.2016 00:04Представитель на Reddit говорит, что это или какой-то старый сервер, или что-то другое, так как не та версия ядра https://www.reddit.com/r/technology/comments/4jf401/pornhub_said_to_be_compromised_shell_access/d369ekk
llvp
16.05.2016 09:53Katie вообще говорит, что ни один их сервер взломан не был:
www.reddit.com/r/technology/comments/4jjc3s/pornhub_wasnt_compromised_whoever_paid_1000_for/d372pa6
edd_k
16.05.2016 01:24+1Либо дурак, либо пиар.
Иначе чем объяснить, что он уже выдал инфу о том, что неоднократно им сообщал о багах и свое имя.
И что позволит отследить себя по премиум-аккаунту. А после — гарантированно получить смачных люлей.
lightman
16.05.2016 08:00неоднократно им сообщал о багах
Но нигде не сказано, что ему хоть раз заплатили. Значит не факт что отследят по финансам.
свое имя
Лишь сказано, что он отказывается сообщать своё имя, про то, сообщал ли он его раньше — ни слова.
Следовательно он вполне может до сих пор быть анонимным и таковым и оставаться.
ru_AlterEgo
16.05.2016 09:45+2«Revolver пояснил, что в прошлом неоднократно сообщал о багах, но не получал ответа от компаний, так что теперь не хочет сообщать им своё настоящее имя.» — нигде нет упоминания именно о данной компании.
И по премиум-аккаунту могут не отследить, так как он может быть анонимным без личных данных.
andrrrrr
16.05.2016 18:11ну так «я найду тебя по ИП», или нет? :) рано или поздно зайдет и скачает без прокси.
хотя есть вариант что просто перепродаст кому-то этот премаккаунт.ru_AlterEgo
16.05.2016 22:39Мне почему-то кажется, что данный человек не сидит и не заходит куда не надо без «прокси» и для него поднять приватный канал перед тем как зайти в интернет как для большинства чистить зубы, а по тому на это если и делать упор, то самый минимальный.
iG0Lka
16.05.2016 02:58+1Он послал их на три буквы
он что русский?
LuckyStarr
16.05.2016 04:30+4Вот так?FKUxi-tauw
16.05.2016 09:45На самом деле похоже, что русский, либо есть русские друзья.
В twittere ест картинка с упоминанием mail.ru
Кроме того, один из контактов указан
xmpp: realdeal@exploit.im (russian)
Old_Chroft
16.05.2016 07:57+4>> залил шелл и получил доступ к админке, так что теперь полностью контролирует сервер
>> если дадут премиум-аккаунт на Pornhub, то готов помочь закрыть уязвимость
То есть он получил доступ к админке, _полностью_ контролирует сервер, но не в состоянии втихую включить премиум для определенной учетки? Очень, очень странно :-) Так что это какой то самопиар обиженного юноши.Syzd
16.05.2016 08:11+1Может проще? Сервер рано или поздно вернется к владельцам. И тогда самозапилинная премиум учетка накроется. А он требует походу пожизненную легальную бесплатную премиум учетку.
Notimer
16.05.2016 09:45+1Что мешает сделать множество премиум аккаунтов, а затем затереть следы своей активности и/или навести шорох в журналах регистрации премиум аккаунтов?
Shultc
16.05.2016 15:50Скорее всего, после возвращения доступа хозяевам, они сразу откатают базу данных из бэкапа. Мало ли, что он мог там натворить
asd111
16.05.2016 11:13+1Он не получил доступ к админке, но может выполнять любые shell команды. Чтобы знать как включается premium нужно знать структуру БД и т.п. Видимо ему лень копаться, и он вроде как 5000$ просит, а не premium. 3000 вроде уже получил.
alex1603
16.05.2016 08:42+3Простите, А если он аноним, то с чего все думают ему 19 лет? Цифра в профиле ни о чем не говорит!
sT331h0rs3
16.05.2016 11:33Прошу прощения, но как эти 2 скриншота доказывают взлом? Доменную запись можно и в hosts прописать, например.
expy777
16.05.2016 12:37Pornhub назвал розыгрышем взлом своего сервера
lenta.ru/news/2016/05/16/pornhubhoax
ZverArt
«Он послал их на три буквы, добавив при этом, что если дадут премиум-аккаунт на Pornhub, то готов помочь закрыть уязвимость. „
Миром правит порно
AllexIn
Порно правит 19-летними пацанами.
А миром правит секс.
Mii
Мне как бы и жаль вас, что в 19 у вас было только порно, и жаль еще по другому поводу
ankh1989
Меня тоже пожалейте тогда — мне уже почти 27.
0xd34df00d
Зато… Зато… Зато у меня образование хорошее!
AllexIn
Уверен, что вы то живете в мире где правят высшие материи. Даже интересно было бы взглянуть… Высокодуховные философы сосредоточенные исключительно на изучении мира. Понятие ЧСВ отсутствует как класс… Определенно было бы интересно. Вы навеное в буддистском монастыре живете, да?
А вот вокруг меня почему-то мир, в котором животные инстинкты никуда не делись. И по прежнему во многом определяют поведение людей.
AlexanderG
Буддисты тоже трахаются, кстати.
pasha_golub
Но как-то степенно! Всё без суеты
sleeply4cat
Похоже, дыра не позволяет сделать премиум-аккаунт (либо её просто нет).
black_semargl
Рулит физический доступ к серверу.
И владельцы рано или поздно его получат.
Или тупо арендуют другой. а этот прекратят оплачивать.
Godless
как-то двусмысленно звучит в контексте топика…