Um pesquisador brasileiro identificado como Pedr4uz encontrou vulnerabilidades na segurança nos códigos de alguns sites adultos populares, como Pornhub, YouPorn, Redtube e Tube8, todos de responsabilidade da MindGeek. Foram encontradas cinco vulnerabilidades, todas baseadas em injeção de código pelo lado do usuårio, após dois meses de pesquisa por parte do estudioso.
Segundo o pesquisador, o potencial invasor só precisava gerar um link falso, quando o usuårio clicasse, o atacante teria acesso a todas as sessÔes, contas de usuårio e funcionårios, além de registros de todas as atividades no site, incluindo dados de cartão de crédito usados em compras dentro das plataformas.
Essa vulnerabilidade deixava expostos até mesmo funcionårios desses sites, o que poderia dar ao invasor acesso às sessÔes desses colaboradores e a possibilidade de roubar contas de outros funcionårios, inclusive, com privilégios de administrador do site. Pedr4uz recebeu uma recompensa de US$ 1000 (R$ 5.370 na cotação atual), através da iniciativa HackerOne. Referente a dois bugs no Redtube, um no Pornhub e outro no YouPorn.
Firewall do Tube8 estava funcionando
O Tube8 tambĂ©m possuĂa essa vulnerabilidade de segurança , entretanto, Pedr4uz afirma que, diferente dos demais, este site tinha um firewall que estava funcionando corretamente, o que fazia com que as requisiçÔes do invasor nĂŁo fossem atendidas. Por conta disso, a recompensa para o encontro dos bugs do Tube8 nĂŁo foi considerada.
AlĂ©m desta vulnerabilidade , Pedr4uz reportou alguns outros erros, estes especĂficos do YouPorn, para a empresa que gerencia o bug bounty do site. Estas outras falhas sĂŁo ainda mais graves, permitindo ataques mais sĂ©rios e perigosos, como âCache Poisoningâ e âDNS Spoofingâ, direcionados ao servidor da empresa.
Porém, estas vulnerabilidades foram consideradas como duplicadas, que são quando um mesmo erro é reportado por mais de um pesquisador e a empresa ainda estå realizando as devidas correçÔes.
