ИБ-эксперт недоволен — владельцы PornHub не заплатили за найденные баги

ИБ-эксперт недоволен — владельцы PornHub не заплатили за найденные баги

Джон Сойер, специалист в области безопасности мобильных приложений, утверждает, что владельцы знаменитого в определенных кругах сайта PornHub недостаточно серьезно отнеслись к обнаруженным Сойером критическим уязвимостям в игровой платформе для взрослых Nutaku. Самое главное, что возмутило Сойера — ему не заплатили за найденные проблемы безопасности.

Компания Mindgeek, владеющая как PornHub, так и Nutaku, не проявила особого интереса к сообщению Джона Сойера, в котором эксперт утверждал, что в APK-файле Nutaku содержатся уязвимости, допускающие удаленное выполнение кода.

Помимо этой проблемы, эксперт также обнаружил слабую систему хеширования паролей, отправку учетных данных по незащищенному HTTP, а также прямое логирование учетных данных.

Изначально Сойер отправил свой отчет в Nutaku, однако там его отослали к программе PornHub по поиску уязвимостей. По словам исследователя, в Mindgeek не придали особого значения найденным брешам в безопасности.

Некоторые баги были признаны неактуальными, не попадающими под программу по поиску уязвимостей. Соответственно, за них эксперту ничего не заплатили.

«Технически они правы. В правилах Pornhub на платформе HackerOne сказано, что такие уязвимости могут не проходить по правилам программы», — заявил Сойер.

«Тем не менее найденные уязвимости позволяют извлечь учетные данные. Для этого просто потребуется находиться в одной сети с атакуемой системой».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Онсек и Информзащита заключили соглашение о партнерстве

Компания «Информзащита», системный интегратор в области информационной безопасности, стала партнером «Онсек» – разработчика комплексной платформы для защиты веб-приложений и API «Валарм». Клиентам интегратора будут доступны оба модуля платформы: «Валарм WAF» и «Валарм FAST» – их развертывание будет осуществляться по модели on-premise.

«Информзащита» – российский холдинг, специализирующийся в области информационной безопасности автоматизированных систем управления. Компания работает на рынке с 1995 года, и за это время ее специалисты реализовали более 4000 проектов, связанных с обеспечением безопасного ведения бизнеса.

Благодаря партнерскому соглашению, заключенному с компаний «Онсек», портфель решений «Информзащиты» пополнился платформой «Валарм», построенной на базе машинного обучения и состоящей из двух модулей: «Валарм WAF» и «Валарм FAST». Вместе они помогают решить все задачи, связанные как с тестированием веб-приложения на этапе его проектирования, так и с защитой от угроз во время эксплуатации.

Модуль «Валарм FAST» (Framework for Application Security Testing) встраивается в CI/CD инфраструктуру продукта на этапе его разработки и выполняет динамическое тестирование, которое позволяет обнаружить уязвимости в коде. После тестирования модуль выдает рекомендации по устранению недочетов. Он легко адаптируется к логике конкретного веб-приложения и генерирует множество автоматических тестов безопасности.

Модуль «Валарм WAF» (Web Application Firewall) помогает защитить уже готовый продукт от угроз, включая OWASP Top-10 и 0-day уязвимости. Благодаря высокой точности распознавания атак, в том числе тех, что направлены на критически важные для компании данные, обеспечена минимизация ложных срабатываний.

Особенность партнерства «Онсек» и «Информзащиты» в том, что системный интегратор будет развертывать платформу для своих клиентов по модели on-premise. Использование собственных мощностей для внедрения ПО вместо арендованных актуально для компаний, где важен высокий уровень контроля всех процессов, в том числе связанных с безопасностью: это, например, банки, страховые организации, промышленные предприятия. Однако и для компаний из других отраслей развертывание платформы on-premise может стать удачным решением, так как в этом случае ИТ-специалисты «Информзащиты» смогут настроить разработку «Онсек» в соответствии с требованиями той или иной организации.

«Тема защиты веб-приложений сейчас очень востребована на отечественном рынке. Убежден, что благодаря сотрудничеству с компанией «Онсек» мы можем предложить нашим заказчикам высокий уровень сервиса в решении задач, связанных с безопасностью веб-приложений как на стадии их разработки, так и в процессе эксплуатации», – комментирует Вячеслав Максимов, Технический директор компании «Информзащита».

«Мы рады сотрудничеству с таким известным интегратором, как "Информзащита". Объединение его опыта в реализации проектов в сфере информационной безопасности в компаниях из разных отраслей и нашей экспертизы в создании решений для защиты веб-приложений позволит новым заказчикам получить самое современное решение для формирования контура информационной безопасности», – отмечает Дмитрий Огородников, коммерческий директор ИТ-компании «Онсек».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru