Además de ser una oportunidad para que investigadores en seguridad puedan sacar algún dinero descubriendo vulnerabilidades en Pornhub, este programa también servirá al sitio web para poder mejorar su seguridad y en consecuencia la confianza depositada por parte de los usuarios.
No todo vale en este programa de recompensas por vulnerabilidades descubiertas. El usuario o investigador que quiera reportar un error tendrá que cumplir los siguientes requisitos:
- Toda vulnerabilidad tiene que ser reportada no después de 24 horas después de ser descubierta.
- No está permitido revelar detalles sobre las vulnerabilidades en ninguna otra parte, solo a Pornhub.
- El usuario o investigador tiene que evitar las pruebas que puedan causar degradación o interrupción del servicio.
- No se puede filtrar, manipular o destruir ningún dato de usuario.
- Las únicas cuentas válidas sobre las que probar las vulnerabilidades descubiertas son las propias del usuario o investigador que descubra vulnerabilidades.
- No se permite el uso de herramientas automatizadas o scripts de pruebas.
Las recompensas van de 50 a 25.000 dólares dependiendo de la gravedad de la vulnerabilidad descubierta. Para evaluar la recompensa que debe recibir el descubridor se tiene que cumplir los siguientes requisitos:
- Ser el primero en reportar la vulnerabilidad.
- Enviar una descripción textual clara que describa los pasos seguidos para producir la vulnerabilidad (lo más seguro es que no se acepte otro idioma que no sea inglés).
- Adjuntar los ficheros necesarios, como pantallazos o vídeos, o un código de prueba de concepto en caso de ser necesario.
- La vulnerabilidad se tiene que reportar directa y exclusivamente a Pornhub.
También hay una serie de acciones que no están permitidas en este programa de recompensas:
- Ataques DDoS.
- Ataques físicos contra oficinas y centros de datos.
- Ingeniería social sobre empleados y contratistas.
- Comprometer cuentas de usuario o empleados.
- Herramientas o escaneos automatizados, botnets, comprometer el sitio web o clientes finales, además de cualquier otro método de explotación automática o usar herramientas que generen un gran volumen de tráfico.
Las personas interesadas pueden ver el resto de detalles en la web de HackerOne.
Fuente: muyseguridad