close
企業趨勢資訊保安

真心「捉蟲」還是搏宣傳? 資深安全研究員揭 Pornhub 漏洞回報計劃不似預期

不少科技公司會透過漏洞回報獎勵計劃 (Bug bounty program) 來改善系統安全,早前我們報導過成人網站 Pornhub 也仿效推出相應計劃。不過近日就有資深安全研究人員在網絡上抱怨,指 Pornhub 漏洞回報計劃只為吸引媒體注意博取宣傳,塑造安全網站形象,實則對安全研究人員回報的漏洞並不重視,而且獎金亦沒有其宣傳的那麼豐厚。

pornhub-bug-bounty

 

資深安全研究人員投訴回報漏洞不受重視

究竟 Pornhub 真的只是為吸引媒體注意博取宣傳,還是初次推出漏洞回報計劃經驗不足導致處理不當?不妨先看一下安全研究人員 Ciaran McNally 的說法。

Ciaran McNally 在其個人 Blog 上撰文指,Pornhub 在正式公佈其漏洞回報計劃前曾進行內部測試,McNally 是其中一名受邀請的安全研究人員。而在此期間,McNally 亦成功找出多個重大漏洞回報給 Pornhub,但每次所獲得的獎金僅僅數百美金,甚至未有收到報酬,並非該公司宣傳的最高可達 25,000 美元那般豐厚。

McNally 透露,他曾發現一個漏洞令他可以存取到 pornhubpremium.com 的內容管理系統,而該漏洞僅獲 750 美元的獎勵;他也發現另一個可以存取名為 DECEPTICron 系統的漏洞,該系統可用於管理 Pornhub 所擁有的不同服務上的 Cron jobs,然而他並未收到任何獎勵,而 Pornhub 則解釋指該系統過舊即將淘汰,因此不發放獎勵。

pornhub2

 

隨後他再次發現了一個管理大量 SVN 資料庫的讀寫存取漏洞,仍然只獲 500 美元的獎勵。「該 SVN 代碼有著多個網站中的大量資料庫密碼,可以從中找到不少具價值的資料。」McNally 補充。然而即使如此重要的漏洞他亦僅獲 500 美元的獎勵,並未能獲得 Pornhub 在新聞稿中宣稱的 25,000 美元獎金,儘管這個漏洞足以讓發現的人可以藉著植入惡意代碼控制 Pornhub 旗下的大部分服務。

對此 McNally 表示非常失望,並指 Pornhub 透過公開的漏洞回報獎勵計劃獲得大量媒體的注意及報導,塑造出安全、專業的形象,但他們的態度和舉動卻令安全研究人員失去動力繼續找尋漏洞。

 

Pornhub 迅速回應承諾改善計劃

McNally 在 Blog 上公佈了自身的遭遇後亦獲不少國外媒體報導,Pornhub 方面就事件回應指,漏洞回報獎勵計劃公佈後他們就收到數以千計的回報,感激所有投入參與的安全研究人員。

Pornhub 又指第一次推出相關計劃需要不斷學習和累積經驗,會聽取各方意見並作改善,而為了該計劃能更有效地運作,將會推出一系列改變並即時生效。例如會在 24 小時內處理好每個提交的回報;公佈詳細的獎勵標準,讓研究人員能預計不同類型的漏洞可以獲得的獎勵金額,並會徐詳細解釋提交的漏洞是否屬於回報計劃的範圍;以及設計限量版 Pornhub 漏洞獵人 T-shirts 供計劃參與者。

而針對 McNally 反映的情況,Pornhub 亦有所表示。McNally 在其個人 Blog 上表示,在 pornhubpremium.com 上找到的內容管理系統漏洞獎勵已提高到 5,000 美元,他表示非常樂意見到 Pornhub 作出改變,並願意聆聽研究人員的意見令整個漏洞回報社群變得更好。

mak

 

Source: Softpedia   MakthePla.net

 

Tags : bugitPornhub
Ken Li

The author Ken Li

世事洞明皆學問,人情練達即文章。