昏暗的房间里,一个叫 “almaco”的小伙子打开了一个成人网站,按下回车那一刻,屏幕上的画面令他血脉喷张。那一夜,almaco 在网站呆了整整四个小时,然而桌上并没有放纸巾,因为他不是为了来看AV ,而是来挖网站漏洞的。
几天后,almaco 收到了成人网站 YouPorn 奖励他的 2500 美元(约 17000元人民币)。“古有柳下惠美女坐怀不乱,今白帽子逛黄网镇定自若”,大概就是如此。
类似 “almaco”这样慕名而来的白帽子黑客并不在少数,他们为成人网站 YouPorn 做安全渗透测试,并把找到的安全漏洞提交到漏洞响应平台,以换取现金及礼品奖励。据雷锋网了解,仅在上周,YouPorn 就发出了至少 6000 美元的赏金。
【截自漏洞平台Hacker one】
YouPorn 是全球访问量最大的色情网站之一,目前在 Alexa 网站排名为 231 ,其号称平均每月有10 亿次视频观看次数。
去年,YouPorn 的姐妹网站 Pornhub 推出了自己的漏洞悬赏计划,吸引了大量专业人士为 Pornhub 寻找网站的漏洞。而今年年初,YouPron 也不落下风, 加入了国外知名的漏洞众测平台 Hacker One,开出了从 50 美元到 25000 美元不等的漏洞悬赏。
发布漏洞悬赏这件事一点都不新鲜,像 Uber、Twitter、Adobe 等大型公司在该平台发布过漏洞悬赏计划,谷歌、脸书这样的公司也有自己的安全响应中心,但“一边逛黄网一边挣悬赏”对血气方刚的年轻黑客们来说,无论何时都充满无穷吸引力。更何况,这两家成人内容公司开出的悬赏确实略高于其他同规模公司。
成人网站安全性迎来春天?
我们先来简单回顾一下雷锋网(公众号:雷锋网)宅客频道去年曾报道过的,遭遇过信息泄露的成人网站。
Fling
2016年5月,著名黑客 Peace in Mind(内心的平静)在著名暗网黑市 The Real Deal 挂出了一个“爆款”商品,那就是 4000万 Fling 的用户注册信息。包括所有用户的邮箱地址、注册名、明文密码、历史登陆IP地址以及生日。
甚至,还包括用户的性取向信息。作为成人交友网站,“性取向”几乎是一个必填的选项,其中五花八门,有男的和女的有男的和男的还有女的和女的还有小动物等等,你懂的。
在此之前,他还出售了成人网站 Naughty America 的380万用户信息,堪称成人网站信息泄露“专业户”。
Friend Finder Network
2016年10月,成人约会和娱乐公司 Friend Finder Network 经历一次最大规模黑客攻击,导致超过4.12亿的账户信息泄露。该公司旗下有号称 “全世界最大约炮社区”的Adult Friend Finder,以及 penthouse 等其他几个成人网站 。
那次泄密事件包含了3.39亿个帐号信息,以及包括1500万已经“删除”的帐号。泄露的数据包括各网站用户的邮箱地址、用户名、密码、用户会员资格、注册日期和最后登录的日期和IP地址。
据雷锋网了解 ,那一次泄露也并非该公司的首例。去年它也曾因为遭到黑客攻击泄露400万用户帐号,其中包含了性取向和约炮记录等敏感信息。
xHamster
2016年11月,成人网站 xHamster 有超过380,000的用户数据在网络地下黑市被公开售卖,其中包括用户名、电子邮件地址以及经过MD5哈希密码,令人咋舌的是,其中还包含了美国军方以及英国等多国政府邮箱。
以上仅仅是去年被爆出的信息泄露事件,如果追溯到更早,恐怕还有数不胜数的案例。整体看来,成人网站的安全状况并不乐观,由于其网站性质的特殊,这类网站此前很少发布漏洞悬赏。Pornhub 开先河发布漏洞悬赏之后,恐怕之后越来越多的同类网站都会效仿,成人网站行业可能迎来安全性全面提升的“春天”。
。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/84320.html