Hacker Ini Mendapatkan $20.000 Setelah Temukan Celah di PornHub

Hacker Ini Mendapatkan $20.000 Setelah Temukan Celah di PornHub

BrainLuqman   5:58 AM   Comment  

Beberapa waktu lalu PornHub mengadakan “sayembara” bagi siapa saja yang berhasil menemukan celah di situs mereka akan mendapat reward hingga $25000. Pengumuman itu disampaikan melalui Bug Bounty Program HackerOne. Nah baru baru ini sekelompok hacker menemukan celah Remote Code Execution dan berhasil mendapatkan reward sebesar $20000.

Sebelumnya berita tentang Bug Bounty Program PornHub bisa kalian baca disini :

Pornhub Adakan Bug Bounty Program Dengan Reward $25000

Nah pada tanggal 28 kemarin di HackerOne sendiri telah dikonfirmasi bahwa PornHub telah menerima laporan tentang bug tersebut dan status report nya telah “closed”. Dalam artian bug tersebut juga telah ditutup tentunya.

Penemu celah di situs PornHub adalah tiga orang security researchers : Dario Weißer (@haxonaut), cutz dan Ruslan Habalov (@evonide) .

Mereka menemukan dua celah fatal RCE menggunakan zero-day vulnerability pada PHP, yangmana bahasa pemrograman tersebut yang digunakan oleh PornHub.
Bug tersebut menyerang PHP versi 5.3 ketas.
Untuk detailnya bisa kalian baca disini :
CVE-2016-5771
CVE-2016-5773 Melalui celah tersebut hacker bisa mengakses informasi pengguna di PornHub, meluhat semua source code di PornHub, bahkan mengambil alih server dengan root previleges.
Atas temuan bug PHP zero-day tersebut, selain PornHub yang memberi reward kepada mereka sebesar $20000 , pihak Internet Bug Bounty HackerOne juga memberi reward $2000.
Untuk detail bagaimana cara kerja exploit tersebut, mereka telah menulis writeup nya yang bisa kalian simak di link berikut :
Fuzzing Unserialize
How we broke PHP, hacked Pornhub and earned $20,000
Oke mungkin sekian artikel kali ini, selamat siang. (jack/lsc)

HackerOne Berikan Reward $10.000 Kepada Penemu “Killswitch” WannaCRY

HackerOne Berikan Reward $10.000 Kepada Penemu “Killswitch” WannaCRY

BrainLuqman   5:57 AM   Comment  

Sudah banyak media meliput tentang akun @malwaretech yang “secara tidak sengaja” menemukan cara menghentikan penyebaran WannaCry v1 beberapa waktu lalu. Selain banjir pujian dan dianggap pahlawan, ternyata pemuda berusia 22 tahun ini juga mendapatkan reward sebesar $10.000 dari HackerOne.

HackerOne adalah platform program Bug Bounty. Banyak perusahaan perusahaan besar yang mengadakan program bug bounty melalui HackerOne. Bahkan beberapa waktu lalu PornHub pernah mengadakan bug bounty melalui situs tersebut.

Balik lagi ke si @malwaretech tadi, setelah pemuda ini menemukan cara untuk menghentikan penyebaran wannacry versi pertama. Saat malware melakukan http request ke random domain dan koneksinya gagal, maka ransomware tersebut akan mengenkripsi file korban, dan jika request nya berstatus ok, maka ransomware akan berhenti. Olehkarena itu dengan mendaftarkan domain mati yang ada pada wannacry membuat ransomware itu sendiri berhenti menyebar.

Sebagai penghargaan, HackerOne akhirnya memberikan reward sebesar $10.000 kepada akun @malwaretech dissertai dengan ucapan terimakasih karena ikut membantu internet lebih aman.

This bounty was provided by HackerOne. Thank you for your active research into this malware and for making the internet safer!

https://hackerone.com/reports/228648

Si malwaretech pun menyebut uang tersebut akan digunakan untuk amal dan sisanya akan digunakan untuk membantu siapa saja yang menginginkan buku mengenai infosec dan tidak mampu membelinya.

Nah bagaimana dengan kalian ? Tertarik untuk mempelajari security dan reverse engineering? Selain membantu untuk membuat dunia maya yang lebih baik, kalian akan dihargai sebagai ahli IT dengan imbalan yang tidak sedikit. (jack/lsc)