Hacker κατέβασε όλο το πηγαίο κώδικα του Vine

Το χρειάστηκε πέντε λεπτά περίπου για να καθορίσει ένα κρίσιμο κενό ασφαλείας που επέτρεπε σε έναν εισβολέα να κατεβάσει ολόκληρο τον πηγαίο κώδικα του Vine από τους διακομιστές του.

Ο ερευνητής ασφαλείας Avicoder είναι αυτός που ανακάλυψε αυτό κενό στην ασφάλεια και το ανέφερε στο Twitter στις 31 Μαρτίου.
hacker Vine
Το πρόβλημα υπήρχε στον Docker που χρησιμοποιείται από το προσωπικό του Twitter για να διαχειριστούν το περιεχόμενο του Vine.

Το Docker είναι μια ανοιχτή πλατφόρμα για τη διαχείριση εικόνων και γενικότερα για τη διαχείριση εφαρμογών. Μπορεί επίσης να χρησιμοποιηθεί για την δημιουργία OS για φορητούς υπολογιστές, VMs ή cloud servers

Συνήθως, οι εγκαταστάσεις του Docker δεν είναι προσβάσιμες από το κοινό, λόγω της ευαίσθητης φύσης του περιεχομένου που διαχειρίζονται.
ΌΠως φαίνεται όμως το Docker του Twitter ήταν εκτεθειμένο, κάτι που επέτρεψε στον Avicoder να ασχοληθεί μαζί του.

Με την πρώτη ματιά ανακάλυψε ότι το Twitter δεν έτρεχε την τελευταία έκδοση του Docker (v2), αλλά ένα API, στην έκδοση 1. Αξιοποιώντας την ιστοσελίδα τεκμηρίωσης του Docker API v1, ο Avicoder άρχισε να δοκιμάζει όλες τις εντολές που μπορούσε να βρει, ανακαλύπτοντας ποιες ενέργειες μπορούσε να εκτελέσει.

Ανακάλυψε ότι μερικές εντολές του έδιναν την δυνατότητα αναζήτησης και ανάκτησης περιεχομένου από τις ρυθμίσεις του Docker του Twitter.

Έτσι ο ερευνητής ανακάλυψε και να κατέβασε πάνω από 80 server images από την του Docker στο Twitter.

Μετά εγκατέστησε αρκετές από αυτές τις εικόνες OS στο laptop του, χρησιμοποιώντας ένα τοπικό Docker και διαπίστωσε ότι μία από αυτές τις εικόνες του server περιείχε ολόκληρο τον πηγαίο κώδικα της υπηρεσίας Vine.

“Ήμουν σε θέση να δω ολόκληρο τον πηγαίο κώδικα του Vine, τα κλειδιά του API και τα κλειδιά τρίτων,” αναφέρει ο Avicoder.

Ο ερευνητής δημοσιοποίησε στο Twitter τα ευρήματά του και πέντε λεπτά αργότερα, η εγκατάσταση του Docker διορθώθηκε. Η εταιρεία θα ανταμείψει τον ερευνητή με 10.080 δολάρια.

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















giorgos

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).