Уязвимость в Twitter Vine позволяла видеть весь исходный код приложения

Уязвимость в Twitter Vine позволяла видеть весь исходный код приложения

Эксперту удалось получить исходный код Vine, ключи API и другие секретные данные.

image

ИБ-исследователь под псевдонимом Avinash  обнаружил серьезную уязвимость в мобильном приложении Twitter Vine, позволяющем создавать короткие (длительностью 6 секунд) видеоролики. Уязвимость позволила эксперту без проблем скачать образ Docker, содержащий полноценный исходный код Vine.

Образ Docker, который должен был быть конфиденциальным, на самом деле оказался доступен всем пользователям. При поиске уязвимости Avinash использовал бесплатную поисковую систему Censys, позволяющую выявлять уязвимости и другие проблемы в Сети. С помощью Censys эксперт обнаружил более 80 образов Docker  и обратил внимание на образ «vinewww», предполагая, что тот содержит связанную с сайтом Vine информацию.

После запуска «vinewww» с помощью интерактивной оболочки Avinash смог увидеть весь исходный код Vine, ключи API, сторонние ключи и другие секретные данные. Исследователь предоставил Twitter все сведения об уязвимости и в течение пяти минут ошибка была исправлена. За проделанную работу Avinash получил от Twitter $10 080.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle