Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon PornHub también se suma al programa de recompensas por encontrar fallos de seguridad




La seguridad parece que también es una prioridad para los sitios web de contenido para adultos (pornográfico) como Pornhub. Una web de videos pornográficos y el sitio de pornografía más grande en el Internet seguido por xvideos y xnxxvideo. Pornhub es uno de varios sitios web de porno en la compañía junto a YouPorn y RedTube. Se une así a la gran lista de sitios webs que recompensan económicamente a investigadores de seguridad por encontrar fallos de seguridad en sus infraestructuras. Al igual que ya hacen otras empresas de la talla de Facebook, Google, Paypal, o Microsoft. Tampoco los bancos están a salvo, el grupo turco Bozkurt es una buena prueba de ello.







Los Bug Bountys o  Vulnerability rewards programs


Recompensas de errores (o recompensas de vulnerabilidad programas) son utilizados por muchas empresas líderes para mejorar la seguridad de sus productos. Estos programas proporcionan un incentivo para que los investigadores dan a conocer de manera responsable los errores de software, flujos de información centralizados, y en última instancia, permiten a los equipos de seguridad para estimular a la comunidad externa para ayudar a mantener a los usuarios seguros.

Algunos ejemplos Bug Bounty Programs


En una semana está siendo especialmente complicada en cuanto a las fugas de datos e información, PornHub no quiere ser uno más, ya que, por ejemplo, simplemente en el día ayer se dieron a conocer hasta 4 robos de datos.  

El porno no es una excepción


Y si no que se lo pregunten al foro de Rosebuttboard.com, un foro enfocado en torno a "la dilatación anal extrema y meterse el puño por el culo", (anal fisting) según el investigador de seguridad Troy Hunt. Del que se han obtenido más de 100.000 cuentas de usuario. Concretamente 107.303 cuentas. La información incluye nombres de usuario, direcciones de correo electrónico, direcciones IP y contraseñas hasheadas con el algoritmo MD5 (notoriamente débil), algunas con salt. Entre los registrados al foro se encuentran varias direcciones de e-mail @*.gov y @*.mil

Rossebuttboard.com (foro culo rosa) se define así mismo como:

top one board for anal fisting, prolapse, huge insertion and rosebutt fans

El sitio estaba funcionando, con una versión desactualizada de software de varios años de antigüedad que tiene varias re conocidas vulnerabilidades de seguridad. Entre ellas una vulnerabilidad SQL injection

Como se ha señalado por Hunt, Rosebuttboard estaba funcionando con la versión 3.4.6 del (Invision Power) IP.Board, un softtware basado en PHP para la creación de foros, que utiliza bases de datos MySQL.

La imagen para publicar la noticia por parte del diario"theregister.co.uk" ha sido muy acertada:


1. Kiddicare hackeado. 794.000 cuentas expuestas


 Kiddicare ha admitido que la empresa ha sufrido una fuga de datos, lo que llevó al robo de datos confidenciales pertenecientes a 794.000 usuarios, incluidos los números de teléfono y direcciones residenciales.

Kiddicare, empresa que vende juguetes y accesorios de niños en todo el Reino Unido, se dio cuenta del robo de los datos después de que sus clientes comenzaron a recibir mensajes de texto sospechosos - muy probablemente parte de una campaña de phishing - que trató de robar a hacer clic en un vínculo que les llevara de una encuesta en línea.

Aunque la compañía aseguró a sus clientes que no hay información  bancaria o detalles financieros  comprometidos en la brecha, la información personal perteneciente a cerca de 794.000 clientes, incluyendo sus nombres, direcciones de envío, direcciones de correo electrónico y números de teléfono, se han expuesto en internet

2. UserVoice hackeado

UserVoice es un servicio basado en web que ofrece herramientas de servicio al cliente y servicio de asistencia técnica. UserVoice ha enviado un correo advirtiendo de que la compañía sufrió una fuga de datos y algunas cuentas de usuario se vieron comprometida, incluyendo sus nombres, direcciones de correo electrónico y contraseñas.

La compañía admitió que las contraseñas de usuario se protegieron con el algoritmo de hash SHA1, que se considera como un cifrado débil.

"A pesar del hecho de que las contraseñas estaban cifradas, es muy posible que un atacante puede descifrar esta información", la compañía notificó. "Como medida de precaución, hemos restablecer todas las contraseñas UserVoice para evitar cualquier posibilidad de que el atacante con miras a mejorar el acceso a las cuentas."

Algunas compañías famosas están utilizando las herramientas de servicio al cliente de UserVoice, incluyendo Twitch, Microsoft y algunas más.


3. Google Sufre una fuga interna de datos


Google sufrió una fuga de datos de menor importancia después de un proveedor filtró involuntariamente información sensible acerca de un número no revelado de empleados a la dirección de correo electrónico incorrecta - pero por suerte, la persona que lo recibió eliminó el correo electrónico inmediatamente.

Según el informe, la violación de los datos ocurrió después de un empleado de una empresa de terceros que utiliza Google para su servicio de gestión de las prestaciones por error del personal enviado datos personales a otra empresa.

Google todavía está investigando la filtración de datos con información privilegiada que se filtraron los datos personales de los empleados de Google al parecer, incluidos los números de Seguro Social (SSN) y nombres, pero no dio detalles sobre los beneficios o los miembros de la familia.

4. Clínica Londres multada con £ 180.000 por filtrar datos de Pacientes con VIH


La Oficina del Comisionado de Información (ICO) ha impuesto una multa de £ 180.000 (aproximadamente $ 260.000) a una clínica de VIH con sede en Londres dirigido por el Chelsea y Westminster Hospital de Servicio Nacional de Salud (NHS) Trust Foundation, de la filtración de los datos de 781 pacientes portadores del virus VIH

La clínica ha enviado por error un boletín de correo electrónico que contiene información médica sensible relativa a un total de 781 pacientes con VIH en conjunto y no individualmente, utilizando el campo "CCO" en el correo electrónico, exponiendo sus nombres y direcciones de correo electrónico entre sí.


Las reglas descritas en:


La seguridad es una prioridad en Pornhub. Nos esforzamos para trabajar con los investigadores de seguridad calificados para mejorar la seguridad de nuestro servicio. Si cree que ha encontrado un fallo de seguridad en los servicios que figuran en nuestro campo de acción, estaremos encantados de trabajar con usted para resolver el problema con prontitud y asegurarse de que está bastante recompensado por su descubrimiento.

Alcance En este momento, el alcance de este programa se limita a las vulnerabilidades de seguridad que se encuentran en el sitio web de Pornhub. Vulnerabilidades reportadas en otras propiedades o aplicaciones no son actualmente elegibles para una recompensa monetaria (como entran en el alcance, que se añaden a esta sección).

  • http: //*.pornhub.com/

Por cuestiones de acceso a la cuenta o diseño visual y los errores de funcionalidad sitio web, por favor, trabajar con nuestro soporte al cliente que resolverá los problemas de forma independiente.

Usted tendrá derecho a una recompensa sólo si usted es la primera persona a divulgar de manera responsable un problema desconocido. El equipo de seguridad de Pornhub tiene 30 días para responder al informe, y hasta 90 días para implementar una solución según la gravedad del informe.

Por favor, tenga  en cuenta este proceso para completar la totalidad antes de intentar ponerse en contacto con nosotros de nuevo. Tenga en cuenta que la publicación de los detalles o conversaciones sobre el informe o publicar detalles que reflejan negativamente en el programa y la marca de Pornhub, dará lugar a la eliminación inmediata del programa.

  • Cualquier vulnerabilidad encontrada se debe informar cómo máximo en las 24 horas después del descubrimiento.
  • No se le permite revelar detalles acerca de la vulnerabilidad en cualquier otro lugar.
  • Hay que evitar las pruebas que podrían causar la degradación o interrupción del servicio.
  • Usted no debe tener fugas, manipular o destruir los datos de usuario.
  • Sólo se le permite poner a prueba a las cuentas que posee uno mismo.
  • No se permite el uso de herramientas automatizadas o scripts automatizados.

Recompensas


Pornhub puede proporcionar recompensas a los reporteros elegibles de vulnerabilidades de clasificación. Nuestra recompensa mínima es de $ 50 USD, y nuestra recompensa máxima es de $ 25,000 USD. cantidades de recompensa pueden variar dependiendo de la gravedad de la vulnerabilidad reportada.

Pornhub se reserva el derecho a decidir si se alcanza el umbral mínimo de gravedad y si se había informado anteriormente. Las recompensas se conceden a la entera discreción de Pornhub. Para calificar para una recompensa en virtud de este programa, usted debe:

  • Sé el primero en informar de una vulnerabilidad.
  • Enviar una descripción textual clara del informe junto con los pasos para reproducir la vulnerabilidad.
  • Incluir archivos adjuntos como imágenes o pruebas de concepto que sea necesario.
  • Divulgar el informe de vulnerabilidad directa y exclusivamente a nosotros.

Nota: Los pagos se realizan a través HackerOne únicacamente.

Excepciones y reglas

Nuestro programa de recompensas de errores se limita estrictamente a las vulnerabilidades de seguridad de los servicios técnicos Pornhub enumeradas en el ámbito de aplicación. No se permite ninguna actividad que pueda interrumpir, dañar o deteriorar cualquier dato de terceros o cuenta.

Los siguientes acciones están estrictamente prohibidas:

  • Ataques de Denegación de Servicio.
  • Los ataques físicos contra las oficinas y centros de datos.
  • La ingeniería social de nuestros mesa de servicio, empleados o contratistas.
  • Compromiso de los usuarios o empleados cuenta Pornhub.
  • Las herramientas automatizadas o exploraciones, botnet, sitio comprometido, clientes finales o cualquier otro medio de explotación automatizada de gran tamaño o uso de una herramienta que genera un importante volumen de tráfico.

Además, no se tendrán en cuenta las siguientes vulnerabilidades de recompensa:


  • Cross site request forgery (CSRF)
  • Cross domain leakage
  • Information disclosure
  • XSS attacks via POST requests
  • Missing SPF records
  • HttpOnly and Secure cookie flags
  • HTTPS related (such as HSTS)
  • Session timeout
  • Missing X-Frame or X-Content headers
  • Click-jacking
  • Rate-limiting

Usted es responsable del pago de los impuestos asociados con los premios. Nos reservamos el derecho a modificar los términos de este programa o terminar este programa en cualquier momento. Debe cumplir con todas las leyes aplicables en relación con su participación en este programa.

Gracias por ayudarnos a mantener Pornhub seguro!

Fuentes:
http://thehackernews.com/2016/05/top-data-breach.html
https://hackerone.com/pornhub

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.