PornHub lanza un programa de recompensas de vulnerabilidades

Ya tienes excusa para ver porno tranquilamente en cualquier momento y lugar: ¡PornHub lanza un programa de recompensas de vulnerabilidades (bug bounty program)!


Con el creciente número de ataques informáticos un número significativo de empresas y organizaciones han iniciado programas de recompensas y los sitios de pornografía no pueden ser una excepción. PornHub, quizás el sitio más famoso de este tipo, ha puesto en marcha un programa de recompensas de errores para que los investigadores de seguridad y los cazadores de bugs puedan encontrar y reportar las vulnerabilidades de seguridad en su sitio web.

El programa se realiza a través de HackerOne, una plataforma para conectar a los investigadores de tecnología que descubren vulnerabilidades, bugs y otros temas con las empresas afectadas por ellos. Las recompensas en este caso van desde los 50$ a los 25.000$ dependiendo del impacto de la vulnerabilidad encontrada en el sitio web:

- http://*.pornhub.com/


Una vez reportado un fallo, el equipo de seguridad de Pornhub tiene 30 días para responder al informe y hasta 90 días para implementar un parche.

- Cualquier vulnerabilidad encontrada se debe informar a más tardar después de 24 horas del descubrimiento.
- No se permite revelar detalles acerca de la vulnerabilidad en cualquier otro sitio.
- Hay que evitar realizar pruebas que puedan causar la degradación o interrupción del servicio.
- No se deben filtrar, manipular o destruir los datos de los usuarios.
- Sólo se permite realizar pruebas con cuentas propias.
- No se permite el uso de herramientas o scripts automatizados.

Queda estrictamente prohibido:

- Ataques de Denegación de Servicio.
- Ataques físicos contra las oficinas y centros de datos.
- Ingeniería social de contra el servicedesk, empleados o contratistas.
- Comprometer usuarios o empleados de Pornhub.
- Usar herramientas o escaneos automatizados, botnets, sitios comprometidos, clientes finales o cualquier otro medio de explotación automatizado o herramienta que genere un importante volumen de tráfico.

Las herramientas automatizadas o exploraciones, botnet, sitios comprometidos, clientes finales o cualquier otro medio de explotación automatizada de gran tamaño o uso de una herramienta que genera un importante volumen de tráfico.

Además, dentro del programa no se tendrán en cuenta las siguientes vulnerabilidades:

- Cross site request forgery (CSRF)
- Cross domain leakage
- Information disclosure
- XSS attacks via POST requests
- Missing SPF records
- HttpOnly and Secure cookie flags
- HTTPS related (such as HSTS)
- Session timeout
- Missing X-Frame or X-Content headers
- Click-jacking
- Rate-limiting

Tenéis todo el detalle del programa en: https://hackerone.com/pornhub


Enjoy! ;)

1 comentarios :