Une faille permettait de récupérer le code source de Vine

Une faille permettait de récupérer le code source de Vine

Corrigée en 5 minutes, mais ouverte depuis quand ?

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

26/07/2016 3 minutes
36

Une faille permettait de récupérer le code source de Vine

Une faille permettait de télécharger le code source de Vine. Alors qu'elle a été identifiée par un hacker, la société nous explique l'avoir corrigée « dans les cinq minutes » en accordant au passage plus de 10 000 dollars de récompense.

Sur son blog, le hacker Avicoder annonce avoir récupéré un « dump » du code source de Vine. Il a signalé la faille à Twitter (propriétaire de la plateforme Vine) qui l'a corrigée très rapidement, ce qui nous a été confirmé par un porte-parole de la société.

Quand le code source de Vine était librement accessible

Avicoder explique qu'il a commencé à chercher plusieurs « points d'entrée », en commençant par identifier des sous-domaines à l'aide de divers moteurs de recherche. Il est ainsi tombé sur l'URL suivante : https://docker.vineapp.com. Celle-ci se contentait de renvoyer un message indiquant qu'il s'agissait d'un registre Docker privé. « S'il est censé être privé, alors pourquoi est-il accessible au public ? » se demande-t-il.

Il pousse alors ses investigations et finit par identifier et par pouvoir récupérer de nombreuses images Docker. Il télécharge celle identifiée sous le nom vinewww « juste parce qu'elle ressemble à un public_html et qu'elle peut contenir le code source Vine ». Bingo : « Je pouvais voir la totalité du code source de Vine, ses clés API, ses clés tierces ainsi que ses secrets. De plus, l'exécution de l'image sans aucun paramètre me laissait héberger une réplique locale de Vine » ajoute-t-il.

Vine

Une faille corrigée « dans les cinq minutes », 10 080 dollars de récompense accordés

Le hacker explique qu'il a remonté cette faille via la plateforme Hackerone le 21 mars 2016. Le 31 mars, l'explication complète de la faille était présentée à Vine, qui bouche la brèche très rapidement dans la foulée. Le 2 avril, une récompense de 10 080 dollars est attribuée au hacker.

Interrogé par nos soins, un porte-parole de Vine nous confirme que « ce problème a été résolu dans les cinq minutes après avoir été signalé à Vine via le programme Bug Bounty de Twitter ». Pour rappel, cela permet à des hackers de transmettre des failles de sécurité de manière responsable, laissant ainsi le temps à la société de résoudre le problème avant que la brèche ne soit rendue publique. Dans tous les cas, la société ajoute qu'elle a évidemment « pris des mesures de précaution comme la révocation et la réémission des certificats afin de veiller à ce que ses systèmes restent sûrs ».

Une histoire qui rappelle, une fois de plus, que la sécurité d'une plateforme ne tient pas qu'à son site principal, mais également à l'ensemble des sous-domaines et autres systèmes. Comme le dit l'adage, le niveau global de sécurité est défini par le niveau de sécurité du maillon le plus faible. 

36

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Quand le code source de Vine était librement accessible

Une faille corrigée « dans les cinq minutes », 10 080 dollars de récompense accordés

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (36)


Et un ingénieur qui cherche du boulot quelque part. Un


comment on peut laisser un sous domaine aussi important ouvert au public? même pas un petit login/password dessus?


C’est quoi Vine ?


J’ai lu Wine en 1ère lecture, du coup, je comprenais pas bien comment on pouvait l’avoir hacké <img data-src=" />



/me need coffee…


+1

Une phrase de présentation du sujet serait bienvenue…








fred42 a écrit :



C’est quoi Vine ?





Un hébergeur vidéo spécialisé dans les vidéos très courtes (&lt;6s).









fred42 a écrit :



C’est quoi Vine ?





C’est comme Meerkat et Periscope! <img data-src=" /><img data-src=" />



à ce point là, autant tout passer en open source! <img data-src=" />


Le problème n’est pas tant le code source proprement dit que la disponibilité des données sécrètes :



ses clés API, ses clés tierces ainsi que ses secrets.



En open source, les secrets ne sont pas disponibles.


y a open source et open source by Vine™ <img data-src=" />

<img data-src=" />








fred42 a écrit :



C’est quoi Vine ?





Un projet open source mais qui ne l’est officiellement pas. <img data-src=" />



Il n’y a que moi qui suis choqué d’observer que la récompense n’est que de $10k ? Il aurait pu en tirer une somme colossale s’il avait été malhonnête.


y’avait eu justement tout un débat là dessus y’a un an ou deux pour savoir si les clés de chiffrement faisaient partie du code source et devaient être publiée aussi ou pas.

le bon sens dirait que non car ça permettrait de faire trop de dégâts pour une personne mal intentionnée, mais si on lit la licence stricto census, ça fait partie des fichiers qui composent le logiciel et donc doivent être publiés sous la même licence.

au final, je crois que ça en est resté au bon sens pour éviter les problèmes, mais j’ai pas trop suivi.


Ça dépend aussi des clés.



Les clés d’API et la plupart des clés de chiffrement sont liées à l’installation locale =&gt; configuration qui peut être fournie avec des clés vides.

Certaines clés font au contraire partie intégrante du procédé (CSS et AACS en particulier) et sont nécessaire au fonctionnement interopérable.



La question se pose essentiellement pour la seconde catégorie.


+1 La somme semble faible par rapport au risque potentiel !

Pour une société dans le genre, c’est surprenant qu’elle ne comprenne pas l’intérêt de bien récompenser les white Hat.

S’il se font hacker pour de vrai, les pertes ne se compteront pas en milliers de dollars..


D’un côté si le White hat est bon, il peut se faire un très bon salaire mensuel et bosser dans une de ces grosses entreprises en parallèle (c’est le cas de beaucoup d’entre eux).



Puis ça permet de se constituer un beau portefeuille de failles découvertes pour enrichir son CV et intégrer une grosse compagnie.


<img data-src=" />







fred42 a écrit :



C’est quoi Vine ?





&nbsp;





frikakwa a écrit :



C’est comme Meerkat et Periscope! <img data-src=" /><img data-src=" />





Ouais c’est un truc complètement inutile ( enfin tout est relatif), dont le développement à du prendre 1 heure et qui doit valoir 1 milliard de dollars. Un truc du genre&nbsp;<img data-src=" />



&nbsp;

Et c’est quoi Meerkat ?&nbsp; <img data-src=" />









sentryman a écrit :



<img data-src=" />



&nbsp;



Ouais c’est un truc complètement inutile ( enfin tout est relatif), dont le développement à du prendre 1 heure et qui doit valoir 1 milliard de dollars. Un truc du genre&nbsp;<img data-src=" />



&nbsp;

Et c’est quoi Meerkat ?&nbsp; <img data-src=" />





Ouais c’est un truc complètement inutile ( enfin tout est relatif), dont

le développement à du prendre 1 heure 8 semaines et qui doit aurait du valoir 1 milliard de

dollars mais qui s’est très vite cassé la gueule :-)



Comme quoi le succès tient à pas grand chose ! Mais bon qui se souvient encore de ChatRoulette ? Puis Caramail aussi à l’époque c’était un peu comme ChatRoulette <img data-src=" /> pourtant ça a jamais été évalué à plusieurs milliards :(









sentryman a écrit :



Et c’est quoi Meerkat ?  <img data-src=" />





Va voir sur Wikipedia (fr), tu seras bien avancé. <img data-src=" />









fred42 a écrit :



C’est quoi Vine ?







Sans dec tu sais pas ce que c’est que du vine de bourgogne ?



sur leur site:

“Meerkat

Live Stream Video.”

voilà.


Bon, maintenant qu’il a touché les sous, il peut mettre l’image docker sur le net :)


DeVine qui a tes sources.








thomgamer a écrit :



D’un côté si le White hat est bon, il peut se faire un très bon salaire mensuel et bosser dans une de ces grosses entreprises en parallèle (c’est le cas de beaucoup d’entre eux).





Faut pas tout mélanger.

Qu’il soit payé pour son travail c’est une chose, mais dans ce cas, c’est “hors de son contrat de travail”, la rémunération n’a donc pas à y être liée d’aucune manière.

Qu’il travail ou pas a coté, la rémunération devrait être la même. Et dans ce cas, elle me semble bien basse par rapport au risque évité.







thomgamer a écrit :



Puis ça permet de se constituer un beau portefeuille de failles découvertes pour enrichir son CV et intégrer une grosse compagnie.





Pareil que pour un black hat, juste un peut plus risqué.<img data-src=" />



bah maintenant qu’il a le code source, il va pouvoir trouver plus facilement des bugs et demander encore des $$$$ ^^



domage que c’etais pas snapchat… ca aurai été marrant qu’il dise : hé les pervers… vos teub et vos tits sont en copi sur le serveur ^^&nbsp;


10K sa reste quand même dans la moyenne haute pour ce genre de travail.



Le vrai problème dans ca c’est la façon de gérer docker et sa sécurisation :)

Le bug de pornhub (autre bug bounty) est quand même autrement plus difficile, et a été effectuer avec 2 failles 0day (trouvées dans php unserialize), ils n’ont touchés a 3 que 10K de reward et 1K par 0day soit 12K



Donc les 10K pour avoir trouver un nom de domaine non protégé c’est une bonne OP pour le mec :)


Pour Youporn, c’est 20k + 2K, donc plus de 6k chacun.&nbsp;

C’est clair que ce n’est pas le même boulot derrière par contre.&nbsp;

Le truc que je me demande, c’est pour le cas de Youporn le programme annonce des primes jusqu’à 25k, et vu ce qu’ils ont trouvés et l’accès qu’ils ont eu, je comprend pas que la prime n’ai pas été le maximum.&nbsp;



Après les hackeurs remercient l’équipe de Youporn pour la rémunération qu’ils estiment eux-mêmes assez haute.&nbsp;


Ils ont peut-être eu droit à un abonnement gratuit à vie, mais il n’y a pas eu de communication là dessus. <img data-src=" />


Et on dit Merci qui ??


Il faut le dire au rédacteur que l’on peut trouver des informations grâce à Google. C’est peut-être parce qu’il ne savait pas ce que c’était qu’il n’a pas indiqué de quoi il s’agissait.<img data-src=" />

Je n’en demande pas des pages, mais juste une petite phrase.


Je vois bien que YouP0rn est ton site préféré&nbsp;<img data-src=" /> mais sa reste sur P0rnHub cette histoire :)

&nbsp;

Pour plus de détail :

https://www.evonide.com/how-we-broke-php-hacked-pornhub-and-earned-20000-dollar/



Mais tu as raison sur le montant de $20K <img data-src=" />


PornHub ? Connait pas, c’est quoi cette merde ?&nbsp;<img data-src=" />



#YouP0rnFTW&nbsp;<img data-src=" />


10k $, c’est tjs mieux que les casquettes de la SNCF (cf l’article sur le bug de la SNCF).

DSL, j’ai pas le lien sur nextinpact


$10k pour ça c’est risible…. ou alors vine ça marche pas tant que ça.