La storia del bug di pornhub e di chi ha salvato la privacy dei milioni di affezionati
Bug all’interno di Pornhub, la piattaforma di condivisione libera di materiale pornografico più visitata al mondo. Esperti di cyber security allertano gli sviluppatori del sito di una falla nel loro sistema che, nelle mani sbagliate, avrebbe messo a rischio la privacy degli utenti e la gestione della piattaforma.
Tre “white-hat hackers” – hackers “buoni” che si dedicano a verificare la sicurezza di una rete per delineare il livello effettivo di rischio cui sono esposti i dati e proporre eventuali azioni correttive – hanno scoperto un bug all’interno del più grande sito web per adulti, PornHub, mostrando come fosse semplice ottenere i dettagli di navigazione e l’intera banca dati degli utenti.
Da qualche mese infatti anche la celeberrima piattaforma a luci rosse ha attivato il suo programma di Bug Bounty.
Il Bug Bounty nasce dalla necessità delle aziende di migliorare e testare la sicurezza delle loro reti; prima questo compito era esclusivamente assegnato ad esperti del settore IT interno all’azienda e molto spesso non tutte le problematiche venivano tempestivamente alla luce, mettendo a rischio reputazione e denaro.
“Ci sarà sempre qualcuno che ne sa più di te” è il concetto alla base, aprendosi a chiunque voglia collaborare il Bug Bounty permette un meccanismo di reazione domanda-risposta tra azienda ed esperti di tutto il mondo praticamente immediato.
I ricercatori, di nazionalità tedesca, hanno prontamente colto l’occasione di guadagno e fama condividendo le informazioni con gli sviluppatori di PornHub al fine di evidenziare il difetto e rafforzare la sicurezza. La loro scoperta è stata premiata con ben $ 20.000.
Uno dei ricercatori coinvolti dichiara:
“Abbiamo cercato di assumere il punto di vista di un cybercriminale esperto con l’intento di penetrare a fondo nel sistema focalizzando l’attenzione su un obiettivo principale: ottenere la capacità di esecuzione di codice da remoto. Non lasciando nulla di intentato abbiamo raggiunto il nostro obiettivo attaccando ciò con cui PornHub è costruito, il PHP”
PHP – Hypertext Preprocessor – è un linguaggio di programmazione interpretato, o linguaggio di programmazione web, utilizzato principalmente per realizzare pagine web dinamiche.
I tre ricercatori hanno trovato un difetto legato ad una vulnerabilità di tipo “use-after-free”, si tratta di una corruzione della memoria che può essere sfruttata dagli hacker per eseguire un codice arbitrario.
Specificatamente il termine “use-after-free” si riferisce al tentativo di accedere alla memoria dopo che la stessa è stata liberata, questo può far crashare il programma, causare l’esecuzione di un codice arbitrario o attivare la piena capacità di esecuzione di un codice da remoto – RCE, Remote Code Execution – come nel nostro caso.
La RCE non è altro che l’abilità di far scattare l’esecuzione del codice da una macchina a un’altra, è il peggior effetto che una falla possa avere poiché permette all’attaccante di avere il controllo completo del processo vulnerabile.
Nel nostro caso l’intero meccanismo si innesca quando l’algoritmo di “garbage collection”, ovvero la modalità automatica di gestione della memoria tramite la quale il PHP libera porzioni di memoria che non dovranno più essere utilizzate, interagisce con altri oggetti del linguaggio stesso.
Tutto questo avrebbe permesso a terzi di tracciare l’interazione tra l’utente e la piattaforma ma non solo, il bug avrebbe permesso agli hacker di eseguire i codici di PornHub sui propri server consentendo agli stessi di fare qualsiasi cosa, anche cancellare l’intero sito web, un disastro per i circa 60 milioni di affezionati che ogni giorno visitano il sito.
Fortunatamente, questa volta, i “buoni” sono arrivati prima dei “cattivi” e PornHub è salvo!