28.07.2016

Hacker získal kompletní zdrojové kódy služby Vine

Twitter je praktickou ukázkou toho, že i ty největší a nejznámější webové stránky mohou být pro útočníky stále zajímavým místem. Někdy, jako v tomto případě, není ani nutné mít zas až tak hluboké znalosti programování.

Cover

Vine, službu patřící Twitteru, lze ve světě videí zařadit na stejné místo jako samotný Twitter ve světě blogování. Umožňuje totiž uživatelům sdílet videa délky právě 6 sekund v nekonečné smyčce. A jelikož tedy spadá pod Twitter, řadí se tím také do dosahu jeho VRP (Vulnerability Reward Program, program pro odměňování nalezených zranitelností) umístěného na známém bug bounty portálu HackerOne. A tam se také dostal do hledáčku hackera Avicoder.

Avicoder, celým jménem Avinash Singh, je white-hat hacker původem z Indie, velmi aktivní v nacházení zranitelností nejen služeb Twitteru. A detaily jeho pravděpodobně největšího úlovku, bezpečnostní chyby, za jejíž odhalení mu Twitter v rámci programu vyplatil odměnu $10,080 (v přepočtu čtvrt milionu korun) právě zveřejnil na svém blogu.

Na začátku využil Censys.io, pokročilý internetový vyhledávač, který umožňuje odborníkům vyhledávat dle zadaných kritérií všechna zařízení připojená k síti. Našel tak zajímavou doménu docker.vineapp.com, která byla označena jako privátní, ale byla běžně přístupná z webového prohlížeče. Jednalo se o službu Docker pro distribuovaný vývoj aplikací. Vzhledem k tomu, že služba nijak zabezpečená nebyla, stačilo získat seznam uložených souborů a stáhnout soubor vinewww, což byly kompletní zdrojové kódy aplikace Vine. Pomocí nainstalovaného klienta služby Docker je pak mohl jednoduše prohlížet a dokonce na svém počítači zprovoznit kompletní aplikaci.

Více na avicoder.me

Kam dál?