ここから本文です

インドのバグハンターが「Vine」の全ソースコードを入手 その手法とは?

THE ZERO/ONE 8月8日(月)14時21分配信

面白いことが起きた。Twitter公式アプリ『Vine』の全ソースコードを、何者かが丸ごとダウンロードしたのだ。

「Vine」は、6秒間の短いループ動画をシェアできるサービスである。Twitterは、このサービスを2012年10月に買収している。

インドのバグ報奨金ハンターAvinashは、そのVineに存在するセキュリティホールを発見した。それを利用して、彼はVineの全ソースコードが含まれたDockerイメージを難なくダウンロードすることができた。

2014年6月にローンチした「Docker」は、同一の古いサーバー上で実行されているアプリを、より多く取得することを可能とする新しいオープンソースのコンテナ技術だ。昨今の企業は驚くほどの勢いで、このDockerを採用している。

しかしVine に利用されていたDockerイメージは、プライベートであるべきだったにも関わらず、実際にはパブリックの状態でオンラインに晒されていた。

AvinashがVineの脆弱性を探す際に利用したのは「Censys.io」──Shodanに似た、まったく新しいハッカー向けの検索エンジン──だった。それは日々インターネット全体をスキャンして、すべての脆弱なデバイスを探す。

AvinashはCensysを使うことで80以上のDockerイメージを発見したが、そこから「vinewww」を特定的に選んでダウンロードした。その命名はwwwフォルダを想起させるもので、それは通常ウェブサーバー上のウェブサイトに使われるものだからだ。

ダウンロードを完了させたのち、彼はDockerイメージ「vinewww」を実行してみた。それは大当たりだった!

そのバグハンター(Avinash)は、Vineの全ソースコード、API KeyやサードパーティKey、Secretも見ることができた。「何のパラメーターも指定せずにイメージを実行するだけで、私はVINEのレプリカをローカルでホストできた」と彼は記している。

23才のAvinashは3月31日、この大きな欠陥をTwitterに報告し、エクスプロイトの全ての手口を実演した。彼に10080ドル(約100万円)の報奨金を授与した同社は、5分とかけることなく、その欠陥の修復を済ませた。

2015年以降、バグ報奨金ハンターとして活躍しているAvinashは、これまで19件の脆弱性をTwitterに報告してきた。

原文:Hacker Downloaded Vine’s Entire Source Code. Here’s How…
※本記事は『HackerNews』の許諾のもと日本向けに翻訳・編集したものです。

The Hacker News

最終更新:8月8日(月)14時21分

THE ZERO/ONE

TEDカンファレンスのプレゼンテーション動画

暗闇で光るサメと驚くほど美しい海洋生物たち
波のほんの数メートル下で、海洋生物学者であり、ナショナルジオグラフィックのエクスプローラーかつ写真家のデビッド・グルーバーは、素晴らしいものを発見しました。海の薄暗い青い光の中で様々な色の蛍光を発する驚くべき新しい海洋生物たちです。彼と一緒に生体蛍光のサメ、タツノオトシゴ、ウミガメ、その他の海洋生物を探し求める旅に出て、この光る生物たちがどのように私たちの脳への新たな理解を明らかにしたのかを探りましょう。[new]