[su_heading size=”18″ margin=”40″]Ένα κρίσιμο κενό ασφάλειας στην δημοφιλή υπηρεσία video streaming επέτρεπε σε οποιονδήποτε επιτιθέμενο να κατεβάσει ολόκληρο τον πηγαίο κώδικα του Vine από τους διακομιστές του.[/su_heading]
[su_spacer][su_spacer][/su_spacer]Το ζήτημα ανακαλύφθηκε από τον ερευνητή ασφαλείας και γνωστό κυνηγό ευπαθειών, Avicoder, και αναφέρθηκε στο Twitter στις 31 Μαρτίου. Μέσω της αξιοποίησης της εν λόγω ευπάθειας, ο white-hat hacker κατάφερε να αποκτήσει πρόσβαση και να κατεβάσει ολόκληρο τον πηγαίο κώδικα του Vine, με περίσσια ευκολία.
[su_note note_color=”#aacca8″ radius=”7″]H δημοφιλής υπηρεσία video streaming, που επιτρέπει τον διαμοιρασμό βίντεο μέγιστης διάρκειας 6 δευτερολέπτων, εξαγοράστηκε το 2012 από το Twitter.[/su_note]
Όλα ξεκίνησαν όταν ο ερευνητής ανακάλυψε ένα κενό ασφάλειας, και κατάφερε να κατεβάσει το Docker image με τον πηγαίο κώδικα της εφαρμογής.
[su_spacer][su_spacer][/su_spacer]
To Docker είναι μια ευρέως διαδεδομένη πλατφόρμα για τη δημιουργία, εκτέλεση και διαχείριση εφαρμογών. Παρότι οι εγκαταστάσεις του Docker δεν είναι συνήθως προσβάσιμες στο κοινό λόγω της ευαίσθητης φύσης του περιεχομένου που διαχειρίζονται, δεν ίσχυε το ίδιο και για το Vine.
Εκμεταλλευόμενος το γεγονός αυτό, ο Avinash χρησιμοποίησε την Censys.io, μια νέα μηχανή αναζήτησης που αξιοποιείται από τους hackers, εντοπίζοντας περισσότερα από 80 docker images, online.
[su_spacer][su_spacer][/su_spacer]
“Tο Censys.io μου έδωσε ένα άκρως ενδιαφέρον URL στα αποτελέσματά του: https://docker.vineapp.com”, αναφέρει ο ερευνητής. “Αφού το εν λόγω Docker θεωρητικά θα έπρεπε να είναι private, τότε γιατί ήταν διαθέσιμο online? Kάτι έπρεπε να συμβαίνει. Kάνοντας αναζήτηση με τον όρο /* private docker registry */ βρήκα ότι το συγκεκριμένο docker παρέχει λειτουργικότητα που επιτρέπει στους προγραμματιστές να φιλοξενούν και να διαμοιράζονται images μέσω του διαδικτύου”.
Ο ερευνητής κατέβασε το image με την ονομασία “vinewww”, το οποίο σχετιζόταν με την εφαρμογή του Vine, και το εξέτασε μέσω ενός docker image viewer.
Δεν μπορούσε να πιστέψει τι είχε μόλις ανακαλύψει. Ολόκληρος ο πηγαίος κώδικας του Vine εμφανιζόταν στην οθόνη του.
“Ήμουν σε θέση να δώ ολόκληρο τον πηγαίο κώδικα του Vine, τα API keys του καθώς και τα third party keys και τα secrets,” εξηγεί o Avicoder. “Ακόμη και κατά την εκτέλεση του image χωρίς καμία παράμετρο, είχα τη δυνατότητα να τρέξω ένα αντίγραφο του Vine τοπικά”.
[su_spacer][su_spacer][/su_spacer]
[su_note note_color=”#f6f9f8″ radius=”7″]Ο ερευνητής ανέφερε στο Twitter τα ευρήματά του και πέντε λεπτά αργότερα, το ζήτημα είχε επιδιορθωθεί. Η εταιρεία αντάμειψε τον ερευνητή με το ποσό των $10.080.[/su_note]
