satucode[dot]com. Beberapa hari yang lalu, Pornhub yang merupakan salah satu situs penyedia layanan pornografi terbesar di amerika serikat,bekerja sama dengan hackerone mengadakan program bug bounty untuk para hacker atau komuitas IT di seluruh dunia. Dengan iming-iming sebesar $25000 atau sekitar 300 juta rupiah, program bug bounty ini di klaim sebagai program pencarian celah keamaaan system digital dengan hadiah yang lumayan menggiurkan.
Hal ini tentu menarik minat para hacker di seluruh dunia. Namun, alih-alih mengikuti program resmi bug bounty yang di selenggarakan oleh pornhub,seorang hacker dengan codename 1×0123,lewat laman twitter memposting sejumlah foto kesuksesan dia menjebol server pornhub dan menjual akses shellnya hanya seharga $1.000. Di kutip dari techworm.net (15/05/2016) sang hacker juga menunjukkan foto akses ke server pornhub.
Ketika di tanya bagaimana dia mendapatkan akses server dan cara mengupload shellnya, dia mengatakan bahwa kerentanan terdapat dalam profil pengguna, yaitu tempat mengunggah foto profil pengguna.Setelah shell berhasil diupload, hacker hanya perlu membuka URL yang tepat dan memungkinkan perintah injeksi. lebih lanjut dia mengatakan , jika seseorang bersedia membayar dia senilai $1.000 dia akan memberikan akses shell untuk masuk ke server, dan tentunya mereka akan memiliki kontrol penuh atas server Porhub tersebut.
Tidak lama berselang,seorang pengguna Redditor, Ketie_Pornhub yang mungkin adalah salah seorang adminweb Pornhub membalas pernyataan 1×0123, dia mengatakan bahwa foto-foto yang dia unggah ke twiter adalah foto yang menunjukan server lama mereka.
Yeah, we’ve been hacked lol
Not sure what else I can say since I don’t know much. I’m sure it’s not how the devs wanted to be spending their Sunday.
I’ll update when I know more.
edit: First response from devs is that it’s shell access to a really old server that’s no longer active (5+ yrs) because that screenshot is not close to the actual directory structure. (And seeing that Pornhub is still live, the hacker didn’t just change everything around lol)
edit: 2nd response is in this screenshot https://twitter.com/1×0123/status/731622179922706432 it shows Kernel version 3.15, but we have 3.10 running on production. They are still trying to figure out what server this guy actually gained access to. They think it’s a test server. I feel like if I tweeted and asked him, it would be quicker.
Hingga saat ini belum ada rilis resmi dari Pornhub maupun Hackerone tentang insiden ini. Lalu bagaimana dengan anda, tertarik untuk membelinya ?...
bug bounty everywhere :D
BalasHapuskamu ga ikutan nos... lumayan hadiahnya.. :-)
Hapus