¿Cuánto de dinero le otorgó Twitter como recompensa por su trabajo?
Vine es un servicio de vídeos de formato corto donde la gente puede compartir 140 segundos de duración en clips de vídeo (hasta junio del 2016 se disponía tan sólo 6 segundos). Twitter adquirió el servicio en octubre de 2012.
¿Adivine qué? Alguien acaba de descargar el código fuente completo de Vine. El premio por hallar el error es grande en términos de dinero.
Un cazador de recompensas por errores/bug denominado «Avicoder» descubrió una agujero en vine que le permitió descargar una imagen de Docker que contiene el código fuente completo de la Vine y sin ningún tipo de molestia.
Lanzado en junio de 2014, Docker es una nueva tecnología de contenedores de código abierto que hace que sea posible conseguir más aplicaciones se ejecuten en los mismos servidores y también muy fácil de empaquetar. Hoy en día, las empresas están adoptando Docker a un ritmo notable.
Sin embargo, las imágenes de Docker (Docker images – es la base de los contenedores) utilizados por Vine, que se suponía era privada, en realidad estaba disponible públicamente en línea.
Para la búsqueda de las vulnerabilidades en Vine, Avinacoder utilizó Censys.io – un motor de búsqueda de todos los nuevos Hacker similar a Shodan – que a diario escanea todo el Internet para encontrar vulnerabilidades.
Usando Censys, Avicoder encontró más de 80 Docker-images, pero específicamente descargó ‘vinewww’, debido al hecho de que la denominación de esta imagen se asemeja a la carpeta www, que se utiliza generalmente para el sitio web en un servidor web.
Después de la descarga se completa, corrió a ver la imagen en Docker, y bingo $$$$$!
El cazador de errores era capaz de ver todo el código fuente de vine, claves de la API, claves de terceros y también algunos secretos.
Con 23 años de edad, informó de este error a Twitter y demostró plena explotación el 31 de marzo. La compañía le ha recompensado con $10,080 como premio y ha solucionado el problema dentro de los 5 minutos siguientes.