Home Bug Bounty Hacker Retas Subdomain Instagram, PornHub, dan Mozilla Setelah Temukan Celah di Tumblr

Hacker Retas Subdomain Instagram, PornHub, dan Mozilla Setelah Temukan Celah di Tumblr

0
SHARE

Hacker Retas Subdomain Instagram, PornHub, dan Mozilla – Baru baru ini hacker / bug hunter dengan kodenama Ak1T4 menemukan celah di tumblr yang memungkinkannya untuk melakukan content injection ke seluruh subdomain tumblr tanpa divalidasi terlebih dahulu oleh pemilik domain. Akibatnya, situs situs ternama yang menggunakan layanan tumblr di domain mereka seperti instagram, pornhub, dan mozilla ikut jadi korban.

Hacker Retas Subdomain Instagram, PornHub, dan Mozilla

Fitur embed di tumblr tidak divalidasi terlebih dahulu oleh pemilik akun atau subdomain tumblr, hal ini memungkinkan siapa saja untuk melakukan serangan content injection di seluruh subdomain tumblr.

Dampak dari celah ini, seluruh subdomain tumblr dan custom domain yang menggunakan cname diretas. Ada 23.900.000 subdomain tumblr yang diretas termasuk subdomain milik instagram, mozilla, dan pornhub. Seluruh situs atau subdomain tersebut berada di server 66.6.32.22 dan 66.6.33.22 .

Berikut list subdomain situs ternama yang terkena dampaknya :

  • http://blog.instagram.com /
  • http://blog.business.instagram.com/
  • http://developers.instagram.com
  • http://lifestyle.pornhub.com
  • http://identify.mozilla.com

Selain itu masih ada ribuan situs lain termasuk blog milik NASA dan subdomain situs pemerintahan US yang menggunakan layanan tumblr.

Menurut postingan yang ditulis pelaku di Medium, dirinya telah melaporkan celah tersebut sebelumnya. Namun pihak tumblr mengangap ini bukan celah.

“The issue that you’ve highlighted posed no risk to blog security (…)”

Akhirnya pelaku pun merespon akan membeberkan bug tersebut jika itu memang dianggap bukan masalah keamanan. Pada akhirnya pihak tumblr memang menutup celah tersebut, namun sayangnya tidak ada bounty yang diberikan kepada penemu celah tersebut yaitu ak1t4. (jack/lsc)

LEAVE A REPLY