Um pesquisador brasileiro identificado como Pedr4uz encontrou vulnerabilidades na segurança nos códigos de alguns sites adultos populares, como Pornhub, YouPorn, Redtube e Tube8, todos de responsabilidade da MindGeek. Foram encontradas cinco vulnerabilidades, todas baseadas em injeção de código pelo lado do usuário, após dois meses de pesquisa por parte do estudioso.
Segundo o pesquisador, o potencial invasor só precisava gerar um link falso, quando o usuário clicasse, o atacante teria acesso a todas as sessões, contas de usuário e funcionários, além de registros de todas as atividades no site, incluindo dados de cartão de crédito usados em compras dentro das plataformas.
Essa vulnerabilidade deixava expostos até mesmo funcionários desses sites, o que poderia dar ao invasor acesso às sessões desses colaboradores e a possibilidade de roubar contas de outros funcionários, inclusive, com privilégios de administrador do site. Pedr4uz recebeu uma recompensa de US$ 1000 (R$ 5.370 na cotação atual), através da iniciativa HackerOne. Referente a dois bugs no Redtube, um no Pornhub e outro no YouPorn.
Firewall do Tube8 estava funcionando
O Tube8 também possuía essa vulnerabilidade de segurança , entretanto, Pedr4uz afirma que, diferente dos demais, este site tinha um firewall que estava funcionando corretamente, o que fazia com que as requisições do invasor não fossem atendidas. Por conta disso, a recompensa para o encontro dos bugs do Tube8 não foi considerada.
Além desta vulnerabilidade , Pedr4uz reportou alguns outros erros, estes específicos do YouPorn, para a empresa que gerencia o bug bounty do site. Estas outras falhas são ainda mais graves, permitindo ataques mais sérios e perigosos, como “Cache Poisoning” e “DNS Spoofing”, direcionados ao servidor da empresa.
Porém, estas vulnerabilidades foram consideradas como duplicadas, que são quando um mesmo erro é reportado por mais de um pesquisador e a empresa ainda está realizando as devidas correções.