不適切に公開されていたDockerイメージにより、Vineのソースコードが流出
2016年8月7日 22:06
あるAnonymous Coward 曰く、 やや旧聞となるが、ハッカーのavicoder氏が、不適切に公開されていたDockerイメージから動画共有サービス「Vine」の非公開のソースコードを入手することに成功していたそうだ(avicoder氏のブログ記事、The Hacker Newsの記事)。 手法を簡単にまとめると以下のようになる。
Censysでエントリーポイントになりそうなサブドメインを検索し「docker.vineapp.com」を発見 Webブラウザーでアクセスすると「/* private docker registry */」と表示されるため、Dockerイメージのホストや共有をするためのサーバーと推定してアクセスしたところ、多数のDockerイメージが公開状態になっていることを確認 「vinewww」というそれらしい名前のイメージをダウンロードして実行したところ、Vineで使われているソースコードがイメージ内に含まれていることが判明 avicoder氏はこの脆弱性をVineの運営元であるTwitterに報告し、脆弱性報告に対する報奨金を受け取ったとのこと。とりあえず、一般には公開していないドメインだからといってアクセス制限やセキュリティを怠ると、このように外部から発見されて狙われる、ということがあるので注意したい。
スラドのコメントを読む | セキュリティセクション | セキュリティ | Twitter | インターネット
関連ストーリー: 開発者向けアプリ「TestFlight」、Pokémon GOの不具合でランキング2位に躍進 2016年08月06日 OSSのホスティングを行っているFossHubが攻撃を受ける、AudiacityやClassic Shellにマルウェアが混入 2016年08月04日 各国政府機関に監視ツールを提供する「Hacking Team」、サイバー攻撃を受けて脆弱性情報などを漏らす 2015年07月10日 子供向けアプリ「YouTube Kids」で成人向けコンテンツが視聴可能なことが判明 2015年05月20日 GitHub上で公開されていた流出したWindows NT4のソースコード、削除される 2015年04月16日 個人情報が意図せず公開状態になっているWebサイトを発見、どう対処する? 2015年03月08日 Uber、個人情報が入ったデータベースにアクセスするための情報をGitHub上で公開していた 2015年03月06日 GitHub上で不適切に公開されている秘密鍵を使ってAWSに不正アクセスする事例が発生 2014年03月26日 Mt.Goxのソースコードが流出? 2014年03月04日 iOS7.0.6で修正された「最悪のセキュリティバグ」はありがちなコーディングミスで発生していた 2014年02月24日 GitHubで多くのユーザーが秘密鍵を公開状態にしていたことが判明 2013年01月26日