不適切に公開されていたDockerイメージにより、Vineのソースコードが流出 2
ストーリー by headless
発見 部門より
発見 部門より
あるAnonymous Coward 曰く、
やや旧聞となるが、ハッカーのavicoder氏が、不適切に公開されていたDockerイメージから動画共有サービス「Vine」の非公開のソースコードを入手することに成功していたそうだ(avicoder氏のブログ記事、 The Hacker Newsの記事)。
手法を簡単にまとめると以下のようになる。
- Censysでエントリーポイントになりそうなサブドメインを検索し「docker.vineapp.com」を発見
- Webブラウザーでアクセスすると「/* private docker registry */」と表示されるため、Dockerイメージのホストや共有をするためのサーバーと推定してアクセスしたところ、多数のDockerイメージが公開状態になっていることを確認
- 「vinewww」というそれらしい名前のイメージをダウンロードして実行したところ、Vineで使われているソースコードがイメージ内に含まれていることが判明
avicoder氏はこの脆弱性をVineの運営元であるTwitterに報告し、脆弱性報告に対する報奨金を受け取ったとのこと。とりあえず、一般には公開していないドメインだからといってアクセス制限やセキュリティを怠ると、このように外部から発見されて狙われる、ということがあるので注意したい。
某サイト (スコア:0)
某サイトはAmazon S3で非公開ファイルが丸見えだったなぁ。
一応、リバースプロキシ通して小細工してたようだけど、S3のアカウントが丸見えという…。
# 日本は脆弱性報告しても報奨金貰えないから、報告する義理は無いけどね…。
# クレジットすら載せてくれねぇ。
Re: (スコア:0)
それどころか訴えられたりISPに圧力かけられてアカウント止められたりするからねえ。佐賀県の事件は必然だったとしか