¿Quieres cazar en Pornhub? Trabajo para pentester

No lleves a mal mi pregunta, aunque seguramente ya estés pensando en lo que NO es. Resulta que el sitio web líder en distribución de pornografía online ha lanzado un proyecto de recompensas -eso sí, bastante restrictivo- para los profesionales en ciberseguridad (pentester) dispuestos a ayudar.

Con nada menos que 60 millones de visitantes cada día, la web Pornhub ha sufrido diferentes ciberataques en los últimos años, sobre todo aquellos relacionados con el malvertising que tanto aquejan a este tipo de webs, y normalmente no son desclasificados sin un «incentivo» de por medio.

PornHub ha dado de alta la citada iniciativa en la plataforma de reclutamiento HackerOne, aunque en principio bastante restrictiva en cuanto a alcance.

Trabajo para pentester en Pornhub

Los hackers deben reportar los fallos de seguridad en las siguientes 24 horas a su descubrimiento, encontrar los fallos sin utilizar herramientas automatizadas y NO interrumpir bajo ningún concepto los servicios de la web (el business es el business :)).

• Página de inscripción al programa bug bounty

Así describen el programa en su web:

La seguridad es una prioridad máxima en PonrHub. Si crees que has encontrado un fallo de seguridad en los servicios listados en nuestro objetivo, estaremos encantados de trabajar contigo para resolver el problema rápidamente y además asegurarte una recompensa justa por tu descubrimiento.

 

Recompensas y condiciones

Hasta ahora, al menos 23 hackers han remitido ya problemas de ciberseguridad en su web. Los responsables preparan recompensas que van desde los escasos 50 € hasta casi 25000, dependiendo de la importancia del descubrimiento.

Los hackers participantes tienen algunas restricciones severas, por ejemplo no lanzar ataques de Denegación de Servicio (DDoS) o intrusiones físicas en las instalaciones (obvio).

En total, se trata de 11 exclusiones, que también incluyen los ataques de tipo CSRF (cross-site request forgery), XSS (cross-site scripting) y otros similares. Finalmente, la ingeniería social está prohibida por razones que tampoco precisan explicación.

Los malvertisers han infiltrado repetidamente anuncios con malware incorporado en sitios como Pornbug, utilizando exploits como Angler o Magnitude exploit kit, que en muchas ocasiones están además distribuyendo ransowmare.

Estos ataques no resultan en un compromiso directo de los sitios web donde se alojan, sino que aprovechan las debilidades en la estructura general de anuncios en internet, donde los bajos márgenes de beneficios parecen no justificar comprobaciones de integridad complejas.

Sitios web como PornHub y, sobre todo, los operadores de red, deberían implementar un sistema de vetos de seguridad para eliminar de una vez por todas el tremendo peligro que supone el malvertising.