Один из крупнейших порносайтов интернета – Pornhub, насчитывающий от 30 до 60 млн посетителей ежедневно, объявил о запуске собственной программы bug bounty. Порносайт готов заплатить исследователям за уязвимости от 50 до 25 000 долларов.
Pornhub сообщает, что официальная программа вознаграждений заработала на платформе HackerOne. Интересно, что старт собственной bug bounty инициативы делает Pornhub одной из крупнейших компаний за последнее время, запустившей программу вознаграждений. Хотя в последние месяцы с аналогичными начинаниями выступили Uber, Tor и даже Пентагон, масштабы Pornhub несоразмерно больше.
Так как сайты для взрослых (особенно столь популярные) часто становятся мишенями злоумышленников, удивляться здесь нечему. В частности, вредоносные рекламные кампании регулярно бывают ориентированы именно на компрометацию порносайтов и их посетителей.
Pornhub установил для своей программы bug bounty ряд довольно жестких рамок. Так, исследователь должен сообщить о найденном баге в течение 24 часов с момента обнаружения. Более того, запрещено использование автоматизированных инструментов для сканирования, а также, разумеется, ботнетов и других средств для генерации мощного трафика. К более стандартным ограничениям можно отнести запрет на любые манипуляции, утечки и повреждения личных данных пользователей и нарушение их приватности. Также в ходе проведения исследований традиционно запрещается вредить сети Pornhub и вызывать какие-либо перебои в работе сервиса.
Определять стоимость каждого бага сотрудники Pornhub будут отдельно, основываясь на присланном исследователем отчете и серьезности проблемы. Компания сохраняет за собой право не отвечать исследователю в течение 30 дней, но тот, в свою очередь, имеет право обнародовать данные о проблеме по прошествии 90 дней.
Программа вознаграждений не распространяется на социальную инженерию, DDoS-атаки и компрометацию аккаунтов сотрудников Pornhub и пользователей. В bug bounty участвуют только публичные фронтэнд сервисы. Помимо этого компания не примет к рассмотрению еще одиннадцать типов уязвимостей, в числе которых XSS, CSRF, кликджекинг, баги сопряженные с HTTPS (к примеру HSTS) и так далее.
Фото: Pornhub
