Эксперту удалось получить исходный код Vine, ключи API и другие секретные данные.
ИБ-исследователь под псевдонимом Avinash обнаружил серьезную уязвимость в мобильном приложении Twitter Vine, позволяющем создавать короткие (длительностью 6 секунд) видеоролики. Уязвимость позволила эксперту без проблем скачать образ Docker, содержащий полноценный исходный код Vine.
Образ Docker, который должен был быть конфиденциальным, на самом деле оказался доступен всем пользователям. При поиске уязвимости Avinash использовал бесплатную поисковую систему Censys, позволяющую выявлять уязвимости и другие проблемы в Сети. С помощью Censys эксперт обнаружил более 80 образов Docker и обратил внимание на образ «vinewww», предполагая, что тот содержит связанную с сайтом Vine информацию.
После запуска «vinewww» с помощью интерактивной оболочки Avinash смог увидеть весь исходный код Vine, ключи API, сторонние ключи и другие секретные данные. Исследователь предоставил Twitter все сведения об уязвимости и в течение пяти минут ошибка была исправлена. За проделанную работу Avinash получил от Twitter $10 080.
Одно найти легче, чем другое. Спойлер: это не темная материя