Weltgrößte Porno-Seite Pornhub zahlt ab sofort Bug Bounties
Sicherheitsforscher können bis zu 25.000 Dollar damit verdienen, Lücken zu melden. Welch schwerwiegende Folgen ein Angriff auf solch brisante Webseiten haben kann, zeigt ein aktuelles Datenleck beim Fisting-Forum Rosebutt Board.
- Fabian A. Scherschel
Zusammen mit dem Bug-Bounty-Spezialisten HackerOne bietet die Porno-Seite Pornhub ab sofort Belohnungen für Sicherheitsforscher, die Lücken in ihrer Infrastruktur aufdecken. Die Betreiber zahlen zwischen 50 und 25.000 US-Dollar für Lücken, die innerhalb von 24 Stunden nach Entdeckung und exklusiv über HackerOne an Pornhub gemeldet werden.
Pornhub vergibt momentan nur Bounties für gravierende Sicherheitslücken, welche die komplette Webseite oder deren Serverinfrastruktur betreffen. Relativ simple Sicherheitslücken wie Cross-Site Request Forgery (CSRF) und einfache XSS-Lücken über POST-Requests werden nicht belohnt. Genaue Anweisungen, welche Bugs gesucht werden und wie man vorgehen muss, um seine Belohnung zu erhalten, finden sich auf der HackerOne-Präsenz von Pornhub.
Datenlecks bei Porno-Seiten können brisante Folgen haben
Pornhub gilt als größte Porno-Seite im Netz und ist laut der Traffic-Analysefirma Alexa momentanauf Platz 63 der meistbesuchten Webseiten der Welt. In Deutschland ist die Seite demnach auf Rang 33. Auf Grund der sensiblen Natur der Nutzerdaten bei solchen Seiten, kann ein Angriff verheerende Folgen für die Besucher haben. Da viele Nutzer ihre Besuche dort privat halten möchten, sind sie oft erpressbar, falls die Nutzerdatenbank durch einen Einbruch auf dem Server, etwa durch SQL-Injection-Angriffe, abhanden kommt.
Erst kürzlich berichtete Sicherheitsforscher Troy Hunt über ein Datenleck bei einem Forum für Liebhaber von Fisting-Sexualpraktiken namens Rosebutt Board. Hier sollen über 100.000 E-Mail-Adressen, Nutzernamen und schlecht gehashte Passwörter durch Sicherheitslücken in einer veralteten Forensoftware abgegriffen worden sein.
Einige Mail-Adressen aus dem Datenfundus haben die Endung .gov und .mil – es handelt sich also um Angehörige der US-Regierung und des Militärs. Dass sich Webseiten wie Pornhub mit Hilfe externer Forscher gegen solche Angriffe absichern wollen und dafür auch schon mal hohe Summen als Bounty springen lassen, ist nachvollziehbar. Auch diese Dienste wollen schließlich ihre Nutzer schützen.
Korrektur: Betrag der höchstmöglichen Bug-Bounty war falsch angegeben. (fab)