Pedr4uz, un chercheur en sécurité brésilien, prétend avoir identifié cinq failles majeures relatives à Pornhub, YouPorn, Redtube et Tube8, soit à certains des sites les plus fréquentés au monde… et appartenant tous au même groupe, à savoir MindGeek.
Cinq failles qui avaient visiblement beaucoup en commun et qui se basaient sur l’injection de code côté utilisateur.
Une découverte troublante et qui aurait pu avoir des conséquences fâcheuses pour les utilisateurs de ces sites.
5 failles de sécurité découvertes sur Pornhub, YouPorn et d’autres sites de MindGeek
D’après les explications données par le chercheur, des explications à prendre avec un minimum de précaution, ces failles étaient de nature critique et elles auraient donc pu avoir de sévères répercussions si elles avaient été exploitées.
Grâce à ces failles, donc, d’éventuels hackers auraient pu utiliser un lien pour prendre le contrôle de la session d’un salarié de ces sites. Un simple clic leur aurait ainsi suffi pour obtenir les droits sur leur session et accéder à toutes les données confidentielles liées aux sites se trouvant sous leur responsabilité, comme les rapports d’activité des utilisateurs, leur nom, leur prénom et d’autres informations du même type.
Pire encore, selon le même chercheur, il aurait également été possible de s’appuyer sur ces failles pour obtenir les privilèges administrateurs sur les sites concernés. Des sites qui reçoivent chaque jour la visite de plusieurs dizaines de millions d’utilisateurs… pour autant de victimes potentielles.
Des vulnérabilités critiques
Suite à ces découvertes et comme le rapportent plusieurs sites brésiliens, Pedr4uz a immédiatement contacté HackerOne, une plateforme spécialisée dans le bug bounty. Ce qui lui a permis de gagner environ 1 000 $, une somme finalement dérisoire compte tenu de la nature des failles.
En revanche, et c’est sans doute le plus intéressant, le chercheur n’a été récompensé que pour quatre de ces failles. Tube8 présentait la même vulnérabilité, mais le pare-feu du site la rendait inexploitable. HackerOne ne l’a donc pas pris en compte.
Reste que cette nouvelle ne tombe pas au meilleur moment pour MindGeek. L’entreprise est en effet empêtrée depuis plusieurs mois dans une polémique portant sur le contenu du catalogue de Pornhub. Suite à une enquête de longue haleine, le New York Times a en effet identifié de nombreux contenus illégaux, des contenus mettant en scène du revenge porn ou même des viols.
Face à la situation, Pornhub a été obligé de prendre des mesures drastiques, notamment en supprimant une bonne partie de son catalogue. Ce qui ne semble pas avoir calmé ses détracteurs.