Además de ser una oportunidad para que investigadores en seguridad puedan sacar algún dinero descubriendo vulnerabilidades en Pornhub, este programa también servirá al sitio web para poder mejorar su seguridad y en consecuencia la confianza depositada por parte de los usuarios.

No todo vale en este programa de recompensas por vulnerabilidades descubiertas. El usuario o investigador que quiera reportar un error tendrá que cumplir los siguientes requisitos:

  • Toda vulnerabilidad tiene que ser reportada no después de 24 horas después de ser descubierta.
  • No está permitido revelar detalles sobre las vulnerabilidades en ninguna otra parte, solo a Pornhub.
  • El usuario o investigador tiene que evitar las pruebas que puedan causar degradación o interrupción del servicio.
  • No se puede filtrar, manipular o destruir ningún dato de usuario.
  • Las únicas cuentas válidas sobre las que probar las vulnerabilidades descubiertas son las propias del usuario o investigador que descubra vulnerabilidades.
  • No se permite el uso de herramientas automatizadas o scripts de pruebas.

Las recompensas van de 50 a 25.000 dólares dependiendo de la gravedad de la vulnerabilidad descubierta. Para evaluar la recompensa que debe recibir el descubridor se tiene que cumplir los siguientes requisitos:

  • Ser el primero en reportar la vulnerabilidad.
  • Enviar una descripción textual clara que describa los pasos seguidos para producir la vulnerabilidad (lo más seguro es que no se acepte otro idioma que no sea inglés).
  • Adjuntar los ficheros necesarios, como pantallazos o vídeos, o un código de prueba de concepto en caso de ser necesario.
  • La vulnerabilidad se tiene que reportar directa y exclusivamente a Pornhub.

También hay una serie de acciones que no están permitidas en este programa de recompensas:

  • Ataques DDoS.
  • Ataques físicos contra oficinas y centros de datos.
  • Ingeniería social sobre empleados y contratistas.
  • Comprometer cuentas de usuario o empleados.
  • Herramientas o escaneos automatizados, botnets, comprometer el sitio web o clientes finales, además de cualquier otro método de explotación automática o usar herramientas que generen un gran volumen de tráfico.

 

Las personas interesadas pueden ver el resto de detalles en la web de HackerOne.

Fuente: muyseguridad