摘要:美國當(dāng)?shù)貢r(shí)間2016年5月15日,一名代號為Revolver(推特名@1x0123)的黑客聲稱他獲得了 Pornhub(世界最大的成人網(wǎng)站)一組服務(wù)器的訪問權(quán)限,隨后以1000美元的價(jià)格出售了shell后臺代碼和命令注入權(quán)限。在15小時(shí)后 Pronhub網(wǎng)站回應(yīng)稱他們正全力調(diào)查漏洞情況,不過目前他們沒有發(fā)現(xiàn)任何實(shí)際執(zhí)行服務(wù)器(a production server)被獲取權(quán)限。
破解4日前 Pornhub宣布了一項(xiàng)懸賞捉蟲計(jì)劃
擁有近3000萬-6000萬日訪問量的Pornhub是全球最大的成人內(nèi)容服務(wù)網(wǎng)站,由于非常容易成為黑客攻擊的目標(biāo)。為了鼓勵人們提交網(wǎng)站安全漏洞,成人網(wǎng)站Pornhub近日攜手漏洞披露企業(yè)HackerOne推出了一個(gè)“賞金除bug”的項(xiàng)目,激發(fā)人們在第一時(shí)間匯報(bào)漏洞。據(jù)了解,為了提升網(wǎng)站的安全性,Pornhub可謂是下了“重金”。發(fā)現(xiàn)者只需在第一時(shí)間匯報(bào)漏洞并附上清晰的文字說明(遵照怎樣的步驟可重現(xiàn)bug)、屏幕截圖、概念驗(yàn)證代碼等,就可以獲得50美元至25000美元的獎勵。
不過Revolver似乎并不太看重賞金,他在推特上回應(yīng)他不再會參加任何懸賞捉蟲活動。Revolver在推特中回應(yīng)道,他在服務(wù)器處理用戶檔案頭像上傳的腳本中發(fā)現(xiàn)這段漏洞。他利用該漏洞上傳了一段Webshell可執(zhí)行后門至Pornhub服務(wù)器,他已經(jīng)獲得了向服務(wù)器注入命令的權(quán)限。Revolver在黑客界已經(jīng)早有名聲,Revolver曾協(xié)助過愛德華·斯諾登,他在斯諾登創(chuàng)建的新聞自由基金會網(wǎng)站上通知了他一段盲注跨站腳本代碼漏洞。他還以推特的形式記錄了近期的黑客破解活動:Naughty America、洛杉磯時(shí)報(bào)控制后臺、Telegram、SourceForge、紐約時(shí)報(bào)、Outlook.com、美國陸軍、NASA等。