Vine’nın Kaynak Kodları İndirildi

Biri, Twitter’a ait olan Vine’nın kaynak kodlarının tamamını indirmeyi başardı.

Vine, kullanıcılarına maksimum 6 saniyelik videolar çekme ve paylaşma imkanı sunan bir paylaşım hizmeti. Twitter, kendi servisi olan Vine’ı Ekim 2012 yılında hizmete sundu.

Hindistanlı “Bug Bounty Hunter” Avinash, Vine’da keşfettiği açık sayesinde, hiç bir zorluk çekmeden, içinde bütün kaynak kodların bulunduğu bir Docker imajı indirmeyi başardı.

2014 yılında hizmete sunulan Docker, yazılım geliştiriciler ve sistemciler için geliştirilen açık kaynaklı bir sanallaştırma platformudur. Bu platform sayesinde web sistemlerinin kurulumunu, testini ve dağıtımını kolaylıkla gerçekleştirebilirsiniz. Diğer sanal makinalardan ayrı olarak gelişmiş mimarisi ve esnek katman teknolojisi ile birçok alanda ön plana çıkmıştır. Bugünlerde çoğu şirket Docker’ı dikkat çekici oranda benimsiyor.

Ancak, Vine’nın kullandığı ve özel olması gereken Docker imajları, aslında kamuya açık şekilde kullanılabilir durumdaymış.

Avinash, Vine’da olabilecek açıkları bulmak için, her yeni hackerın kullandığı Censys.io arama motorunu kullandı. Censys.io, açıklar bulunan cihazları bulmak bütün interneti günlük arayan bir arama motoru.

Avinash, Censys kullandığı sırada sayısı 80’i geçen Docker imajları buldu. Fakat özellikle “vinewww” olarak adlandırılmış olanı indirdi. İndirdiği imajın isminin www dosyalarına benzerliği, o imajı hedef yapan ilk sebep.

Avinash, indirme işlemini tamamladıktan sonra vinewww isimli Docker imajı çalıştırdı ve bingo!

Example

Avinash Vine’a ait bütün kaynak kodları, API anahtarlarını, üçüncü parti anahtarları ve başka sırları görebildi. Açıklamasına göre: “Herhangi bir parametre olmadan imajı çalıştırmam bile, Vine uygulamasının bir kopyasına lokal olarak sahip olmama yetti.”

23 yaşındaki Avinash, bulduğu bu açığı 31 Martta tam açıklamayla birlikte Twitter’a bildirdi. Twitter Avinash’ı $10.080 ile ödüllendirirken, rapor edilen açığı da 5 dakika içinde kapattı.

Kaynak: thehackernews.com