Уязвимост в Twitter Vine даде възможност за изтегляне на целия сорс-код на приложението

Компютърния специалист по информационна безопасност с псевдоним Avinash разкри сериозна уязвимост в мобилното приложение Twitter Vine, която дава възможност за създаването на кратки видеоклипове с продължителност до 6 секунди. Уязвимостта дала възможност на експерта без особени проблеми да изтегли цял файлов Docker-образ, съдържащ всичките сорс-кодове на приложението Twitter Vine.

Docker-образът би трябвало да е конфиденциален, но на практика се оказал достъпен за всички потребители. При търсенето на уязвимости Avinash е използвал безплатната търсачка Censys, която дава възможност за търсене на уязвимости и други проблеми в Глобалната мрежа. С помощта на Censys експертът намерил около 80 Docker-образа, като обърнал внимание на файловия образ vinewww, предполагайки, че той съдържа някаква информация свързана с Vine.

При стартирането на vinewww с помощта на интерактивна среда, Avinash видял всички сорс-кодове на Vine, API ключовете, външните ключове и друга секретна информация. Avinash представил на Twitter всички тези данни за уязвимостта и само за 5 минути грешката била оправена. За труда си Avinash получи от Twitter $10 800.