Durante cinco minutos, cualquiera de nosotros podría haber accedido al código fuente de Vine, sus claves de API y las claves de terceros. Pero, en lugar de tomar el control de millones de cuentas de usuario, el hacker que descubrió el fallo dio el aviso a Twitter y recibió a cambio una recompensa de 10.080 dólares.
Avicoder no necesitó
hackear
Vine para hacerse con el código fuente del servicio. Por error, la imagen de la aplicación estaba disponible públicamente en un contenedor de Docker que debía ser privado. El hacker sólo tuvo que encontrar la URL
docker.vineapp.com
mediante un motor de búsqueda y, a continuación, descargar la imagen con una petición
pull request
.
El código fuente, alojado en los servidores de Amazon, desvelaba todos los secretos de la plataforma. “Incluso ejecutando la imagen sin ningún parámetro podía alojar una réplica local de Vine”, escribió Avicoder en un su blog . El cazarrecompensas avisó a los desarrolladores del problema y estos lo solucionaron en cinco minutos. La compañía le pagó 10.080 dólares, el botín que ofrece normalmente a usuarios que encuentran fallos de seguridad.
Hacía tiempo que no oíamos hablar de Vine, la plataforma de los vídeos de seis segundos que fue adquirida por Twitter en 2012. Hoy en día lucha por conservar a todos esos artistas que se hicieron famosos en su red y que ahora se marchan —previo pago— a servicios como Snapchat o Facebook. Vine ya permite subir vídeos de hasta 140 segundos, pero sigue mostrando los primeros seis en bucle cuando navegas por la menguante lista de vídeos nuevos.
[ Avicoder vía The Register ]
