Hacker κατέβασε όλο το πηγαίο κώδικα του Vine

Το Twitter χρειάστηκε πέντε λεπτά περίπου για να καθορίσει ένα κρίσιμο κενό που επέτρεπε σε έναν εισβολέα να κατεβάσει ολόκληρο τον πηγαίο κώδικα του Vine από τους διακομιστές του.

Ο ερευνητής ασφαλείας Avicoder είναι αυτός που ανακάλυψε αυτό κενό στην και το ανέφερε στο Twitter στις 31 Μαρτίου.
hacker Vine

Το πρόβλημα υπήρχε στον Docker που χρησιμοποιείται από το προσωπικό του Twitter για να διαχειριστούν το περιεχόμενο του Vine.

Το Docker είναι μια ανοιχτή πλατφόρμα για τη διαχείριση εικόνων και γενικότερα για τη διαχείριση εφαρμογών. Μπορεί επίσης να χρησιμοποιηθεί για την δημιουργία OS images για φορητούς υπολογιστές, VMs ή cloud servers

Συνήθως, οι εγκαταστάσεις του Docker δεν είναι προσβάσιμες από το κοινό, λόγω της ευαίσθητης φύσης του περιεχομένου που διαχειρίζονται.
ΌΠως φαίνεται όμως το Docker του Twitter ήταν εκτεθειμένο, κάτι που επέτρεψε στον Avicoder να ασχοληθεί μαζί του.

Με την πρώτη ματιά ανακάλυψε ότι το Twitter δεν έτρεχε την τελευταία έκδοση του Docker (v2), αλλά ένα παλαιότερο API, στην έκδοση 1. Αξιοποιώντας την τεκμηρίωσης του Docker API v1, ο Avicoder άρχισε να δοκιμάζει όλες τις εντολές που μπορούσε να βρει, ανακαλύπτοντας ποιες ενέργειες μπορούσε να εκτελέσει.

Ανακάλυψε ότι μερικές εντολές του έδιναν την δυνατότητα αναζήτησης και ανάκτησης περιεχομένου από τις του Docker του Twitter.

Έτσι ο ερευνητής ανακάλυψε και να κατέβασε πάνω από 80 server images από την εγκατάσταση του Docker στο Twitter.

Μετά εγκατέστησε αρκετές από αυτές τις εικόνες OS στο laptop του, χρησιμοποιώντας ένα τοπικό client Docker και διαπίστωσε ότι μία από αυτές τις εικόνες του server περιείχε ολόκληρο τον πηγαίο κώδικα της ς Vine.

“Ήμουν σε θέση να δω ολόκληρο τον πηγαίο κώδικα του Vine, τα του API και τα κλειδιά τρίτων,” αναφέρει ο Avicoder.

Ο ερευνητής δημοσιοποίησε στο Twitter τα ευρήματά του και πέντε λεπτά αργότερα, η εγκατάσταση του Docker διορθώθηκε. Η εταιρεία θα ανταμείψει τον ερευνητή με 10.080 δολάρια.

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).