Το Twitter χρειάστηκε πέντε λεπτά περίπου για να καθορίσει ένα κρίσιμο κενό ασφαλείας που επέτρεπε σε έναν εισβολέα να κατεβάσει ολόκληρο τον πηγαίο κώδικα του Vine από τους διακομιστές του.
Ο ερευνητής ασφαλείας Avicoder είναι αυτός που ανακάλυψε αυτό κενό στην ασφάλεια και το ανέφερε στο Twitter στις 31 Μαρτίου.
Το πρόβλημα υπήρχε στον Docker που χρησιμοποιείται από το προσωπικό του Twitter για να διαχειριστούν το περιεχόμενο του Vine.
Το Docker είναι μια ανοιχτή πλατφόρμα για τη διαχείριση εικόνων και γενικότερα για τη διαχείριση εφαρμογών. Μπορεί επίσης να χρησιμοποιηθεί για την δημιουργία OS images για φορητούς υπολογιστές, VMs ή cloud servers
Συνήθως, οι εγκαταστάσεις του Docker δεν είναι προσβάσιμες από το κοινό, λόγω της ευαίσθητης φύσης του περιεχομένου που διαχειρίζονται.
ΌΠως φαίνεται όμως το Docker του Twitter ήταν εκτεθειμένο, κάτι που επέτρεψε στον Avicoder να ασχοληθεί μαζί του.
Με την πρώτη ματιά ανακάλυψε ότι το Twitter δεν έτρεχε την τελευταία έκδοση του Docker (v2), αλλά ένα παλαιότερο API, στην έκδοση 1. Αξιοποιώντας την ιστοσελίδα τεκμηρίωσης του Docker API v1, ο Avicoder άρχισε να δοκιμάζει όλες τις εντολές που μπορούσε να βρει, ανακαλύπτοντας ποιες ενέργειες μπορούσε να εκτελέσει.
Ανακάλυψε ότι μερικές εντολές του έδιναν την δυνατότητα αναζήτησης και ανάκτησης περιεχομένου από τις ρυθμίσεις του Docker του Twitter.
Έτσι ο ερευνητής ανακάλυψε και να κατέβασε πάνω από 80 server images από την εγκατάσταση του Docker στο Twitter.
Μετά εγκατέστησε αρκετές από αυτές τις εικόνες OS στο laptop του, χρησιμοποιώντας ένα τοπικό client Docker και διαπίστωσε ότι μία από αυτές τις εικόνες του server περιείχε ολόκληρο τον πηγαίο κώδικα της υπηρεσίας Vine.
“Ήμουν σε θέση να δω ολόκληρο τον πηγαίο κώδικα του Vine, τα κλειδιά του API και τα κλειδιά τρίτων,” αναφέρει ο Avicoder.
Ο ερευνητής δημοσιοποίησε στο Twitter τα ευρήματά του και πέντε λεπτά αργότερα, η εγκατάσταση του Docker διορθώθηκε. Η εταιρεία θα ανταμείψει τον ερευνητή με 10.080 δολάρια.