黑客宣告世界最大成人網站服務器被破解

摘要:美國當地時間2016年5月15日,一名代號爲Revolver(推特名@1x0123)的黑客聲稱他獲得了Pornhub(世界最大的成人網站)一組服務器的訪問權限,隨後以1000美元的價格出售了shell後臺代碼命令注入權限。在15小時後Pornhub網站迴應稱他們正全力調查漏洞情況,不過目前他們沒有發現任何實際執行服務器(a production server)被獲取權限。

破解4日前 Pornhub宣佈了一項懸賞捉蟲計劃

擁有近3000萬-6000萬日訪問量的Pornhub是全球最大的成人內容服務網站,由於非常容易成爲黑客攻擊的目標。爲了鼓勵人們提交網站安全漏洞,成人網站Pornhub近日攜手漏洞披露企業HackerOne推出了一個“賞金除bug”的項目,激發人們在第一時間彙報漏洞。據瞭解,爲了提升網站的安全性,Pornhub可謂是下了“重金”。發現者只需在第一時間彙報漏洞並附上清晰的文字說明(遵照怎樣的步驟可重現bug)、屏幕截圖、概念驗證代碼等,就可以獲得50美元至25000美元的獎勵

不過Revolver似乎並不太看重賞金,他在推特上回應他不再會參加任何懸賞捉蟲活動。Revolver在推特中迴應道,他在服務器處理用戶檔案頭像上傳的腳本中發現這段漏洞。他利用該漏洞上傳了一段Webshell可執行後門至Pornhub服務器,他已經獲得了向服務器注入命令的權限。Revolver在黑客界已經早有名聲,Revolver曾協助過愛德華·斯諾登,他在斯諾登創建的新聞自由基金會網站上通知了他一段盲注跨站腳本代碼漏洞。他還以推特的形式記錄了近期的黑客破解活動:Naughty America、洛杉磯時報控制後臺、Telegram、SourceForge、紐約時報、Outlook.com、美國陸軍、NASA等。