Durante la jornada de ayer no fueron pocos los medios de comunicación que se hicieron eco de una supuesta noticia: que Pornhub había sido atacado por un ciberdelicuente. Una información que no tardó en propagarse y que, además, aseguraba que el responsable se había dedicado a vender el acceso a los servidores del sitio por mil dólares.
Un suceso que, sin duda, recordó al de Ashley Madison y que, a priori, auguraba con causar un gran revuelo. Sin embargo y a pesar de “lo que prometía” todo apunta a que se trató de una broma. Al menos eso dice la compañía, que ha dado a conocer que tal y como lo describe su autor, el ataque “no es técnicamente posible”. Pero expliquémonos.
El supuesto ataque
#pornhub command injection + shell on subdomain + src for sale
— 1x0123 (@1x0123) 14 de mayo de 2016
xmpp : revolver@rows.io pic.twitter.com/rWjaUOkkhY
De esta manera y para entender las claves del asunto, debemos remontarnos al fin de semana, cuando un usuario de Twitter conocido como Revolver –un joven de 19 años- aseguró en la plataforma de microblogging haber accedido a los servidores de la web de adultos, una entrada que ofrecía vender a cualquier interesado por un precio de mil dólares.
Una supuesta hazaña que no solo afirmó, sino sobre la que también subió ciertas capturas que teóricamente demostraban su actuación y que según el sitio CSO logró llevar a cabo de la mano de un fallo en el sistema de perfiles que permitía un acceso total al sito. Una entrada que incluso llegó a vender a tres personas.
No obstante y a pesar de que inicialmente Pornhbub informó de que se habría entrado “en un servidor de prueba y no de producción” y que los datos de sus 60 millones de usuarios diarios no habían quedado expuestos en ninguna circunstancia, la entidad no tardó en ponerse las pilas e investigar al respecto.
This is what happen when your sysadmin(s) forgot to lock directories .. #pornhub pic.twitter.com/lPu1ruRfcI
— 1x0123 (@1x0123) 14 de mayo de 2016
¿El resultado? Que tras su análisis y después de entrar en contacto con el su puesto hacker, se dieron cuenta de que los métodos que describía no eran “técnicamente posibles”. Una suerte de “estafa” cuyas intenciones desconocemos pero que, sin duda, podrían mermar la imagen de la compañía y que, evidentemente, no es única en su especie, pues hace tan solo unas semanas Reuters dio a conocer un caso parecido.
En aquella ocasión, las supuestas brechas de seguridad tuvieron que ver con los principales servicios de correo electrónico, una noticia que también se propagó por cientos de blogs pero que posteriormente fue desmentida por varios expertos y empresas de seguridad.
Otras consideraciones
i don't report vulnerabilities anymore
— 1x0123 (@1x0123) 14 de mayo de 2016
go underground or go away #FuckBugBounty
Por otra parte, no debemos perder de vista que esta actuación se produce justo después de que la compañía haya lanzado su programa de recompensas, una práctica habitual entre otras empresas de la talla de Google, Facebook y similares, y un sistema que les permite encontrar vulnerabilidades y premiar a quienes las detectan, de tal manera que todas las partes salen ganando.
Thanks to @1x0123 for reporting a piwik vulnerability to @FreedomofPress! Great work. Got a bug report? Please contact @ageis with details.
— Edward Snowden (@Snowden) 10 de abril de 2016
De hecho, Pornhub asegura que pagará hasta 25 mil dólares por estas detecciones y sigue animando a los hackers interesados a seguir investigando al respecto. Al respecto, parece que Revolver se ha “rebotado”, asegurando que no volverá a reportar vulnerabilidades. ¿Su hashtag? #FuckBugBounty.
Al margen de lo dicho, resulta imprescindible comentar que este hacker ha estado muy activo durante los últimos meses y que el propio Edward Snowden le dio personalmente las gracias por informar de un agujero de seguridad en Piwick hace poco menos de un mes.
Vía | Motherboard
En Genbeta | El porno no se libra: PornHub y YouPorn sufren un ataque de inserción de banners maliciosos
Ver 1 comentarios