Twin Design / Shutterstock.com

インドのバグハンターが「Vine」の全ソースコードを入手　その手法とは？

August 5, 2016 11:30
by 『The Hacker News』

面白いことが起きた。Twitter公式アプリ『Vine』の全ソースコードを、何者かが丸ごとダウンロードしたのだ。

「Vine」は、6秒間の短いループ動画をシェアできるサービスである。Twitterは、このサービスを2012年10月に買収している。

インドのバグ報奨金ハンターAvinashは、そのVineに存在するセキュリティホールを発見した。それを利用して、彼はVineの全ソースコードが含まれたDockerイメージを難なくダウンロードすることができた。

2014年6月にローンチした「Docker」は、同一の古いサーバー上で実行されているアプリを、より多く取得することを可能とする新しいオープンソースのコンテナ技術だ。昨今の企業は驚くほどの勢いで、このDockerを採用している。

しかしVine に利用されていたDockerイメージは、プライベートであるべきだったにも関わらず、実際にはパブリックの状態でオンラインに晒されていた。

AvinashがVineの脆弱性を探す際に利用したのは「Censys.io」──Shodanに似た、まったく新しいハッカー向けの検索エンジン──だった。それは日々インターネット全体をスキャンして、すべての脆弱なデバイスを探す。

AvinashはCensysを使うことで80以上のDockerイメージを発見したが、そこから「vinewww」を特定的に選んでダウンロードした。その命名はwwwフォルダを想起させるもので、それは通常ウェブサーバー上のウェブサイトに使われるものだからだ。

ダウンロードを完了させたのち、彼はDockerイメージ「vinewww」を実行してみた。それは大当たりだった！

そのバグハンター（Avinash）は、Vineの全ソースコード、API KeyやサードパーティKey、Secretも見ることができた。「何のパラメーターも指定せずにイメージを実行するだけで、私はVINEのレプリカをローカルでホストできた」と彼は記している。

23才のAvinashは3月31日、この大きな欠陥をTwitterに報告し、エクスプロイトの全ての手口を実演した。彼に10080ドル（約100万円）の報奨金を授与した同社は、5分とかけることなく、その欠陥の修復を済ませた。

2015年以降、バグ報奨金ハンターとして活躍しているAvinashは、これまで19件の脆弱性をTwitterに報告してきた。

原文：Hacker Downloaded Vine’s Entire Source Code. Here’s How…
※本記事は『HackerNews』の許諾のもと日本向けに翻訳・編集したものです。

『The Hacker News』

2011年10月からスタートしたセキュリティニュースサイト、セキュリティ技術者、ハッカーなどから注目されている。

http://thehackernews.com

THE ZERO/ONEが文春新書に！『闇ウェブ（ダークウェブ）』発売中

発刊：2016年7月21日（文藝春秋）

著者：スプラウト

麻薬、児童ポルノ、偽造パスポート、偽札、個人情報、サイバー攻撃、殺人請負、武器……「秘匿通信技術」と「ビットコイン」が生みだしたサイバー空間の深海にうごめく「無法地帯」の驚愕の実態！自分の家族や会社を守るための必読書。

企業とホワイトハッカーを結ぶ日本初のバグ報奨金プラットフォーム

運営会社：スプラウト

BugBounty.jpは、企業と世界中のホワイトハッカーたちを結ぶ、日本初のバグ報奨金プログラムのプラットフォームです。ウェブサービスやアプリケーション、IoT製品のバグを発見したい企業は、完全成果報酬型でホワイトハッカーに調査を依頼することができます。

ハッカー腕試しの最高峰「DEF CON CTF」とは？　今年もラスベガスが熱くなる

August 5, 2016 18:00

by tessy

世界的なハッカーの祭典である「DEF CON」が、8月4日から7日にかけてラスベガスで開催中だ。DEF CONにはいろいろなイベントがあるが、なかでも一番注目されているのは、「DEF CON CTF」だろう。世界中から腕に覚えがあるハッカーが集まり、チーム戦で戦っていく。そこではどんなことが起こっ…

世界最大級のトラッカーサイト「KickassTorrents」運営者が逮捕（後編）　KATファンによる抗議とあの大物弁護士が登場

August 4, 2016 10:30

by 江添佳代子

世界中で最も愛され、同時に憎まれたTorrentサイト「KickassTorrents（以下KAT）」の運営者とみられる人物の逮捕が報じられたのは7月20日のことだった。ポーランドで逮捕された30歳のウクライナ人、Artem Vaulinにかけられた容疑は、著作権侵害とマネーロンダリングである。米国…

SecurityAffairsの世界ハッカーインタビュー (6) セキュリティ企業を経営するインド人ハッカー「Rahul Sasi」

August 4, 2016 10:00

by 『Security Affairs』

今日は、機械学習をベースにしたクラウドセキュリティ企業CloudSekの創業者Rahul Sasi氏へのインタビューを紹介する。 Rahul Sasi氏(@fb1h2s)は、機械学習をベースにしたクラウドセキュリティ企業CloudSekの創業者である。彼は Garage4hackers.comの管理…

世界最大級のトラッカーサイト「KickassTorrents」運営者が逮捕（前編）　インデックスファイルの提供は違法行為か？

August 3, 2016 08:00

by 江添佳代子

米司法省が7月20日に発表した声明によると、人気のウェブサイト「KickassTorrents（略称：KAT）」の運営者とみられるArtem Vaulin容疑者が、米当局によってポーランドで逮捕された。米司法次官補のLeslie R. Caldwellは、声明の中で次のように語っている。 Vauli…