Независимый эксперт Киаран Макнелли (Ciaran McNally) рассказал в блоге о своем печальном опыте участия в закрытом бета-тестировании bug bounty программы Pornhub. По словам эксперта, порносайт наотрез отказывается выплачивать крупные вознаграждения и оправдывает это тем, что на уязвимые сервисы bug bounty не распространяется.
Макнелли пишет, что эта история произошла довольно давно, задолго до официального анонса bug bounty. Ирландский исследователь был приглашен принять участие в закрытом бета-тестировании программы вознаграждений еще 11 месяцев назад. В ходе бета-теста он успешно обнаружил ряд серьезных уязвимостей, но за свои находки Макнелли получил от 150 до 750 долларов, и такой размер выплат он считает совершенно недостаточным.
В блоге исследователь рассказал, какие именно баги ему довелось обнаружить. Макнелли пишет, что вначале сумел получить доступ к CMS сайта pornhubpremium.com, за что компания заплатила ему $750. Затем он пробрался на другой сервер Pornhub, где получил доступ к панели DECEPTICron – планировщику задач, который работает с другими ресурсами компании. За эту уязвимость исследователю не заплатили вообще, представители Pornhub объяснили это тем, что сервер был старый и в скором времени должен был отправиться на списание.
После этого исследователь получил read/write доступ к ряду SVN-репозиториев, но заработал на этом лишь $500, — компания заявила, что большая часть репозиториев не участвовала в bug bounty. При этом исследователь пишет, что в коде SVN содержались пароли от множества разных БД, внутри которых было много интересного. Также Макнелли нашел XXE-уязвимость, затронувшую сразу несколько доменов Pornhub, но ему заплатили $150, и стало ясно, что продолжать поиск багов не имеет смысла. Макнелли заключил, что выплачивать экспертам крупные суммы (к примеру, $25 000, как было заявлено в анонсе), руководство Pornhub не намерено вовсе.
«На мой взгляд, Pornhub просто вычеркивал сервисы один за другим, по мере того как я сообщал об уязвимостях; затем они стали сокращать диапазон [сервисов] через равные промежутки времени. Теперь они объявили о bug bounty публично, получили внимание СМИ, и якобы они ориентированы на безопасность. Очень разочаровывает и демотивирует», — пишет Макнелли.
Официальный комментарий Pornhub о случившемся запросили журналисты издания Softpedia. Представители порносайта сообщили, что бета-тест программы вознаграждений многому их научил и они очень благодарны за это всем исследователям. В частности, по итогам закрытой беты, к списку сервисов доступных для bug bounty, «по многочисленным просьбам» был добавлен pornhubpremium.com, а на странице программы вознаграждений появились более подробные объяснения, относительно выплат, их размеров и типов уязвимостей. Что касается Макнелли, представители Pornhub отвечали на претензии исследователя открыто — на Reddit, но ответ вышел весьма уклончивым:
«Мак был приглашен принять участие в программе на стадии закрытой беты. Для нас этот урок был очень поучителен, так как это наша первая bug bounty программа. В связи с этим мы очень ценим все комментарии и предложения от ведущих исследователей, таких как он. С того времени мы внесли множество корректив в обе программы: в систему обработки отчетов об ошибках, а также в таблицу выплат».
