Cinco vulnerabilidades baseadas em injeção de código pelo lado do usuário (client side) foram descobertas pelo pesquisador de segurança Pedr4uz, depois de estudar o código dos populares sites pornográficos, o Pornhub, YouPorn, Redtube e o Tube8, por cerca de dois meses.
- Café de graça? Pesquisador manipula sistema de “giftcard” da Nespresso e insere mais de € 167 mil em seu cartão
- SonicWall confirma vulnerabilidade zero day em seus dispositivos de acesso remoto SMA 100
- Apple corrige vulnerabilidades zero day que permitiam execução de código remoto
De acordo com o pesquisador, bastava clicar em um link adulterado para que um atacante conseguisse roubar sessão e contas de usuários e funcionários, além dos registros de tudo que fosse feito no site, como, por exemplo, os dados de cartão de crédito, caso o usuário fizesse uma compra.
“A única coisa que era necessária é que o usuário clicasse no link [...] Se eu mandasse um link adulterado para um funcionário de um desses sites e ele clicasse, a sessão dele seria minha [...] Essas brechas também poderiam ser utilizadas para roubar contas de funcionários, com privilégios de administrador no site”, explica Pedr4uz.
O pesquisador conseguiu US$ 1000 como recompensa, através da plataforma de bug bounty, HackerOne. A recompensa representa dois bugs do Redtube, um do Pornhub e outro do YouPorn. Pedr4uz informa que, embora o Tube8 também estivesse vulnerável, o firewall estava configurado corretamente e a recompensa não foi considerada.
“Essas brechas foram encontradas primeiro no YourPorn, depois em todos os outros sites do mesmo grupo, todos estavam vulneráveis, menos o Tube8, onde havia um firewall configurado corretamente. Por mais que era possível controlar o que seria refletido na página do usuário, o firewall barrava as minhas requisições”, diz.
A vulnerabilidade
O pesquisador conta que estuda o código do YouPorn já há algum tempo e durante um processo de revisão, que faz toda semana, descobriu uma página HTML, criada para fazer a gerenciamento de anúncios que serão exibidos para o usuário.
“Uma página em HTML, em branco, que pega algumas variáveis do usuário, define qual vai ser o servidor de anúncios e coloca esse anúncio nessa página, que, em tese, o usuário não deveria acessar e nem saber que existe”, explica.
Com essa descoberta curiosa, o pesquisador resolveu investigar, com testes de parâmetros diversos. “Descobri alguns parâmetros diferentes, que ao colocar na URL, de maneira codificada, a página de anúncios decodificava eles”, diz.
Ele identificou que a página também decodificava alguns caracteres especiais. Foi quando descobriu a vulnerabilidade: era possível se aproveitar dessa decodificação de caracteres para anexar código malicioso ao código-fonte da página.
“Se aquela página HTML estivesse rodando um script simples, que só seleciona anúncios no servidor, era possível inserir JavaScript e HMTL arbitrário e com isso, roubar os cookies e a sessão do usuário. Também era possível fazer com que o navegador da vítima baixasse um software malicioso sem autorização e muito mais”, explica.
Pedr4uz sabia que o código do YouPorn era muito parecido com o código dos outros sites da mesma empresa (Pornhub, Redtube e Tube8 e outros) e resolveu testar neles também. O mesmo bug foi encontrado em todos os outros sites, já que eles foram desenvolvidos com uma tecnologia muito semelhante.
“A topologia do Pornhub, do Redtube, to YouPorn e do Tube8 são quase análogas, quase que 90% idênticas [...] Percebi que bastante coisa do YouPorn também se aplicava ao Pornhub, ao Redtube e ao Tube8. Achei isso estranho e vi que a empresa que gerencia o bug bounty do YouPorn é a mesma dos outros. Aí que tudo fez sentido. Comecei a explorar a topologia de todos os outros sites da mesma empresa. Mas meu foco principal sempre foi o Youporn”, conta.
O processo
A MindGeek, empresa responsável pelos sites em questão, é o verdadeiro conglomerado da putaria digital. Além do Pornhub, YouPorn, Redtube e Tube8 a empresa, com escritórios no Canadá, Estados Unidos, Reino Unido, Irlanda, Alemanha, Romênia e Itália, também gerencia os sites PornMD, Thumbzilla e Xtube, além das produtoras de filmes adultos Brazzers, Digital Playgroud, Men, WhyNotBi, Reality Kings e Sean Cody.
De acordo com a própria empresa, só o Pornhub, um dos seus principais produtos, recebe uma média de mais de 100 bilhões de visualizações de vídeo por ano e conta com cerca de 20 milhões de usuários registrados.
Pedr4uz conta que durante esses dois meses estudando o YouPorn, diversos relatórios de vulnerabilidades foram enviados - alguns bem graves que permitiam ataques mais sérios do tipo "Cache Poisoning" e "DNS Spoofing", direcionados ao servidor da empresa -, mas todos foram considerados duplicados, que é quando o bug já foi reportado e a empresa ainda está no processo de correção.
Até que em um domingo qualquer, durante a revisão semanal, ele identificou essa página suspeita, descobriu o problema, reportou à empresa e recebeu a recompensa. Para o pesquisador, bug bounty é uma questão de tempo e dedicação.
“Tiveram diversas outras brechas que ainda não consegui escalar como uma vulnerabilidade válida, mas conseguir juntar um cenário de brechas apropriadas é uma questão de tempo”, conclui.