Хакер захватил контроль над Pornhub и продаёт доступ за тысячу долларов

  • Новость
19-летний хакер под ником Revolver (аккаунт 1x0123 в твиттере) заявил о взломе порносайта Pornhub и теперь предлагает всем желающим купить доступ к серверу за $1000. Это не такая высокая цена для сайта, куда заходят 60 млн посетителей в сутки.

В доказательство юноша опубликовал два скриншота.

Хакер также выразил своё отношение к недавно объявленной программе Pornhub по выплате вознаграждений за найденные уязвимости. «Я больше не сообщаю об уязвимостях. Иди в подполье или сваливай. #FuckBugBounty», — сказал он.

Revolver пояснил, что в прошлом неоднократно сообщал о багах, но не получал ответа от компаний, так что теперь не хочет сообщать им своё настоящее имя.

Хакер сказал, что залил шелл и получил доступ к админке, так что теперь полностью контролирует сервер.



Он упомянул, что использовал уязвимость в скрипте для профилей пользователей, этот скрипт обрабатывает загруженные в профиль фотографии. Очевидно, под видом фотографии ему удалось залить и запустить на исполнение свой код.

Представители Pornhub пока отказываются от комментариев, но в твиттере сказали, что ведут расследование и пока не похоже, что хакер получил доступ к продакшн-серверу.

Пока Pornhub ведёт расследование, парень говорит, что продал доступ уже трём клиентам.

Revolver также сказал, что к нему в твиттере обратились представители Pornhub. Он послал их на три буквы, добавив при этом, что если дадут премиум-аккаунт на Pornhub, то готов помочь закрыть уязвимость. Ответа пока нет.

Revolver в последнее время становится знаменитостью. Месяц назад он сообщил о баге на сайте Фонда за свободу прессы (Freedom of the Press Foundation), тогда сам Эдвард Сноуден публично поблагодарил его.
Поделиться публикацией
Комментарии 51
    +10
    «Он послал их на три буквы, добавив при этом, что если дадут премиум-аккаунт на Pornhub, то готов помочь закрыть уязвимость. „

    Миром правит порно
      +21
      Порно правит 19-летними пацанами.
      А миром правит секс.
        –37
        Мне как бы и жаль вас, что в 19 у вас было только порно, и жаль еще по другому поводу
          +22

          Меня тоже пожалейте тогда — мне уже почти 27.

            +20
            Зато… Зато… Зато у меня образование хорошее!
              +5
              Уверен, что вы то живете в мире где правят высшие материи. Даже интересно было бы взглянуть… Высокодуховные философы сосредоточенные исключительно на изучении мира. Понятие ЧСВ отсутствует как класс… Определенно было бы интересно. Вы навеное в буддистском монастыре живете, да?
              А вот вокруг меня почему-то мир, в котором животные инстинкты никуда не делись. И по прежнему во многом определяют поведение людей.
                +4
                Буддисты тоже трахаются, кстати.
                  +2
                  Но как-то степенно! Всё без суеты
          • НЛО прилетело и опубликовало эту надпись здесь
              +2
              Рулит физический доступ к серверу.
              И владельцы рано или поздно его получат.
              Или тупо арендуют другой. а этот прекратят оплачивать.
                +8
                как-то двусмысленно звучит в контексте топика…
              +3
              Он уже успел продать.

              By Sunday afternoon, 1x0123, who goes by the handle Revolver when communicating via XMPP, confirmed that he had sold access to Pornhub to three people.

              «2 guys with shell, 1 guy for a command injection script,» he told Salted Hash.

              Pornhub contacted Revolver for more information. He offered to share those details, and help patch the vulnerability that allowed such access, for total cost of $5,000 USD. It isn't clear if the adult entertainment giant agreed to those terms.
              +6
              Заюзал недавнюю уязвимость в ImageMagick?
              –1
              Похоже на вирусную рекламу.
                +2
                Рекламу премиум-аккаунтов на Pornhub? :)
                0
                Представитель на Reddit говорит, что это или какой-то старый сервер, или что-то другое, так как не та версия ядра https://www.reddit.com/r/technology/comments/4jf401/pornhub_said_to_be_compromised_shell_access/d369ekk
                +1
                Либо дурак, либо пиар.

                Иначе чем объяснить, что он уже выдал инфу о том, что неоднократно им сообщал о багах и свое имя.
                И что позволит отследить себя по премиум-аккаунту. А после — гарантированно получить смачных люлей.

                  0
                  неоднократно им сообщал о багах
                  Но нигде не сказано, что ему хоть раз заплатили. Значит не факт что отследят по финансам.
                  свое имя
                  Лишь сказано, что он отказывается сообщать своё имя, про то, сообщал ли он его раньше — ни слова.

                  Следовательно он вполне может до сих пор быть анонимным и таковым и оставаться.
                    +2
                    «Revolver пояснил, что в прошлом неоднократно сообщал о багах, но не получал ответа от компаний, так что теперь не хочет сообщать им своё настоящее имя.» — нигде нет упоминания именно о данной компании.

                    И по премиум-аккаунту могут не отследить, так как он может быть анонимным без личных данных.
                      0
                      ну так «я найду тебя по ИП», или нет? :) рано или поздно зайдет и скачает без прокси.
                      хотя есть вариант что просто перепродаст кому-то этот премаккаунт.
                        0
                        Мне почему-то кажется, что данный человек не сидит и не заходит куда не надо без «прокси» и для него поднять приватный канал перед тем как зайти в интернет как для большинства чистить зубы, а по тому на это если и делать упор, то самый минимальный.
                    +1
                    Он послал их на три буквы

                    он что русский?
                      +4
                      Вот так?
                      FKU
                        +2
                        похоже на команду ftp :)
                          0
                          На самом деле похоже, что русский, либо есть русские друзья.
                          В twittere ест картинка с упоминанием mail.ru
                          Кроме того, один из контактов указан
                          xmpp: realdeal@exploit.im (russian)
                            +8
                            Да и цену он указал как 1k $, а не $1k.
                            0
                            GFY
                            0
                            Круг подозреваемых существенно сузился. Читают ли хабр админы порнхаба?
                            +4
                            >> залил шелл и получил доступ к админке, так что теперь полностью контролирует сервер
                            >> если дадут премиум-аккаунт на Pornhub, то готов помочь закрыть уязвимость

                            То есть он получил доступ к админке, _полностью_ контролирует сервер, но не в состоянии втихую включить премиум для определенной учетки? Очень, очень странно :-) Так что это какой то самопиар обиженного юноши.
                              +1
                              Может проще? Сервер рано или поздно вернется к владельцам. И тогда самозапилинная премиум учетка накроется. А он требует походу пожизненную легальную бесплатную премиум учетку.
                                +1
                                Что мешает сделать множество премиум аккаунтов, а затем затереть следы своей активности и/или навести шорох в журналах регистрации премиум аккаунтов?
                                  0
                                  Скорее всего, после возвращения доступа хозяевам, они сразу откатают базу данных из бэкапа. Мало ли, что он мог там натворить
                                +1
                                Он не получил доступ к админке, но может выполнять любые shell команды. Чтобы знать как включается premium нужно знать структуру БД и т.п. Видимо ему лень копаться, и он вроде как 5000$ просит, а не premium. 3000 вроде уже получил.
                                +22
                                ТАМ ЖЕ ОДНИ ДЫРЫ!!!1
                                  +7
                                  Простите, не смог удержаться (:
                                    +3
                                    Выражение «У нас дыра в безопасности» из уст админа PornHub звучит двусмысленно.
                                      +5
                                      «Ну хоть что-то у нас в безопасности»
                                        –1
                                        «Безопасность в дыре»
                                      +3
                                      Простите, А если он аноним, то с чего все думают ему 19 лет? Цифра в профиле ни о чем не говорит!
                                        –1
                                        полистал этого чудика, и увидел пост про Кевина Митника, интересно, зачем оно запостило имя Кевина митника?
                                          0
                                          XSS оставил на его сайте
                                          +8
                                          Главное, чтобы мой аккаунт с избранным не удалил.
                                            0
                                            Прошу прощения, но как эти 2 скриншота доказывают взлом? Доменную запись можно и в hosts прописать, например.
                                              0
                                              Пацан с репутацией уже. Вряд ли он бы стал так дешево её сливать.
                                              0
                                              Pornhub назвал розыгрышем взлом своего сервера
                                              lenta.ru/news/2016/05/16/pornhubhoax
                                                0
                                                Ради любопытства — а сколько весит папка Upload? :)

                                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                Самое читаемое