インドのバグハンターが「Vine」の全ソースコードを入手 その手法とは?

『The Hacker News』

August 5, 2016 11:30
by 『The Hacker News』

面白いことが起きた。Twitter公式アプリ『Vine』の全ソースコードを、何者かが丸ごとダウンロードしたのだ。

「Vine」は、6秒間の短いループ動画をシェアできるサービスである。Twitterは、このサービスを2012年10月に買収している。

インドのバグ報奨金ハンターAvinashは、そのVineに存在するセキュリティホールを発見した。それを利用して、彼はVineの全ソースコードが含まれたDockerイメージを難なくダウンロードすることができた。

2014年6月にローンチした「Docker」は、同一の古いサーバー上で実行されているアプリを、より多く取得することを可能とする新しいオープンソースのコンテナ技術だ。昨今の企業は驚くほどの勢いで、このDockerを採用している。

しかしVine に利用されていたDockerイメージは、プライベートであるべきだったにも関わらず、実際にはパブリックの状態でオンラインに晒されていた。

AvinashがVineの脆弱性を探す際に利用したのは「Censys.io」──Shodanに似た、まったく新しいハッカー向けの検索エンジン──だった。それは日々インターネット全体をスキャンして、すべての脆弱なデバイスを探す。

AvinashはCensysを使うことで80以上のDockerイメージを発見したが、そこから「vinewww」を特定的に選んでダウンロードした。その命名はwwwフォルダを想起させるもので、それは通常ウェブサーバー上のウェブサイトに使われるものだからだ。

ダウンロードを完了させたのち、彼はDockerイメージ「vinewww」を実行してみた。それは大当たりだった!

そのバグハンター(Avinash)は、Vineの全ソースコード、API KeyやサードパーティKey、Secretも見ることができた。「何のパラメーターも指定せずにイメージを実行するだけで、私はVINEのレプリカをローカルでホストできた」と彼は記している。

23才のAvinashは3月31日、この大きな欠陥をTwitterに報告し、エクスプロイトの全ての手口を実演した。彼に10080ドル(約100万円)の報奨金を授与した同社は、5分とかけることなく、その欠陥の修復を済ませた。

2015年以降、バグ報奨金ハンターとして活躍しているAvinashは、これまで19件の脆弱性をTwitterに報告してきた。

原文:Hacker Downloaded Vine’s Entire Source Code. Here’s How…
※本記事は『HackerNews』の許諾のもと日本向けに翻訳・編集したものです。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…