Une faille permettait de récupérer le code source de Vine
Corrigée en 5 minutes, mais ouverte depuis quand ?
Une faille permettait de télécharger le code source de Vine. Alors qu'elle a été identifiée par un hacker, la société nous explique l'avoir corrigée « dans les cinq minutes » en accordant au passage plus de 10 000 dollars de récompense.
Sur son blog, le hacker Avicoder annonce avoir récupéré un « dump » du code source de Vine. Il a signalé la faille à Twitter (propriétaire de la plateforme Vine) qui l'a corrigée très rapidement, ce qui nous a été confirmé par un porte-parole de la société.
Quand le code source de Vine était librement accessible
Avicoder explique qu'il a commencé à chercher plusieurs « points d'entrée », en commençant par identifier des sous-domaines à l'aide de divers moteurs de recherche. Il est ainsi tombé sur l'URL suivante : https://docker.vineapp.com. Celle-ci se contentait de renvoyer un message indiquant qu'il s'agissait d'un registre Docker privé. « S'il est censé être privé, alors pourquoi est-il accessible au public ? » se demande-t-il.
Il pousse alors ses investigations et finit par identifier et par pouvoir récupérer de nombreuses images Docker. Il télécharge celle identifiée sous le nom vinewww « juste parce qu'elle ressemble à un public_html et qu'elle peut contenir le code source Vine ». Bingo : « Je pouvais voir la totalité du code source de Vine, ses clés API, ses clés tierces ainsi que ses secrets. De plus, l'exécution de l'image sans aucun paramètre me laissait héberger une réplique locale de Vine » ajoute-t-il.
Une faille corrigée « dans les cinq minutes », 10 080 dollars de récompense accordés
Le hacker explique qu'il a remonté cette faille via la plateforme Hackerone le 21 mars 2016. Le 31 mars, l'explication complète de la faille était présentée à Vine, qui bouche la brèche très rapidement dans la foulée. Le 2 avril, une récompense de 10 080 dollars est attribuée au hacker.
Interrogé par nos soins, un porte-parole de Vine nous confirme que « ce problème a été résolu dans les cinq minutes après avoir été signalé à Vine via le programme Bug Bounty de Twitter ». Pour rappel, cela permet à des hackers de transmettre des failles de sécurité de manière responsable, laissant ainsi le temps à la société de résoudre le problème avant que la brèche ne soit rendue publique. Dans tous les cas, la société ajoute qu'elle a évidemment « pris des mesures de précaution comme la révocation et la réémission des certificats afin de veiller à ce que ses systèmes restent sûrs ».
Une histoire qui rappelle, une fois de plus, que la sécurité d'une plateforme ne tient pas qu'à son site principal, mais également à l'ensemble des sous-domaines et autres systèmes. Comme le dit l'adage, le niveau global de sécurité est défini par le niveau de sécurité du maillon le plus faible.
Commentaires (36)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 26/07/2016 à 08h04
C’est quoi Vine ?
Le 26/07/2016 à 08h07
J’ai lu Wine en 1ère lecture, du coup, je comprenais pas bien comment on pouvait l’avoir hacké
" />
/me need coffee…
Le 26/07/2016 à 08h07
+1
Une phrase de présentation du sujet serait bienvenue…
Le 26/07/2016 à 08h08
Le 26/07/2016 à 08h09
+1
Le 26/07/2016 à 08h13
Le 26/07/2016 à 08h14
à ce point là, autant tout passer en open source!
" />
Le 26/07/2016 à 08h19
Le problème n’est pas tant le code source proprement dit que la disponibilité des données sécrètes :
ses clés API, ses clés tierces ainsi que ses secrets.
En open source, les secrets ne sont pas disponibles.
Le 26/07/2016 à 08h21
y a open source et open source by Vine™
" />
" />
Le 26/07/2016 à 08h21
Le 26/07/2016 à 08h31
Il n’y a que moi qui suis choqué d’observer que la récompense n’est que de $10k ? Il aurait pu en tirer une somme colossale s’il avait été malhonnête.
Le 26/07/2016 à 08h41
y’avait eu justement tout un débat là dessus y’a un an ou deux pour savoir si les clés de chiffrement faisaient partie du code source et devaient être publiée aussi ou pas.
le bon sens dirait que non car ça permettrait de faire trop de dégâts pour une personne mal intentionnée, mais si on lit la licence stricto census, ça fait partie des fichiers qui composent le logiciel et donc doivent être publiés sous la même licence.
au final, je crois que ça en est resté au bon sens pour éviter les problèmes, mais j’ai pas trop suivi.
Le 26/07/2016 à 08h48
Ça dépend aussi des clés.
Les clés d’API et la plupart des clés de chiffrement sont liées à l’installation locale => configuration qui peut être fournie avec des clés vides.
Certaines clés font au contraire partie intégrante du procédé (CSS et AACS en particulier) et sont nécessaire au fonctionnement interopérable.
La question se pose essentiellement pour la seconde catégorie.
Le 26/07/2016 à 08h48
+1 La somme semble faible par rapport au risque potentiel !
Pour une société dans le genre, c’est surprenant qu’elle ne comprenne pas l’intérêt de bien récompenser les white Hat.
S’il se font hacker pour de vrai, les pertes ne se compteront pas en milliers de dollars..
Le 26/07/2016 à 08h53
D’un côté si le White hat est bon, il peut se faire un très bon salaire mensuel et bosser dans une de ces grosses entreprises en parallèle (c’est le cas de beaucoup d’entre eux).
Puis ça permet de se constituer un beau portefeuille de failles découvertes pour enrichir son CV et intégrer une grosse compagnie.
Le 26/07/2016 à 08h58
Le 26/07/2016 à 09h03
Le 26/07/2016 à 09h04
Le 26/07/2016 à 09h04
Le 26/07/2016 à 09h11
sur leur site:
“Meerkat
Live Stream Video.”
voilà.
Le 26/07/2016 à 09h50
Bon, maintenant qu’il a touché les sous, il peut mettre l’image docker sur le net :)
Le 26/07/2016 à 10h07
DeVine qui a tes sources.
Le 26/07/2016 à 10h32
Le 26/07/2016 à 10h37
bah maintenant qu’il a le code source, il va pouvoir trouver plus facilement des bugs et demander encore des $$$$ ^^
domage que c’etais pas snapchat… ca aurai été marrant qu’il dise : hé les pervers… vos teub et vos tits sont en copi sur le serveur ^^
Le 26/07/2016 à 11h51
10K sa reste quand même dans la moyenne haute pour ce genre de travail.
Le vrai problème dans ca c’est la façon de gérer docker et sa sécurisation :)
Le bug de pornhub (autre bug bounty) est quand même autrement plus difficile, et a été effectuer avec 2 failles 0day (trouvées dans php unserialize), ils n’ont touchés a 3 que 10K de reward et 1K par 0day soit 12K
Donc les 10K pour avoir trouver un nom de domaine non protégé c’est une bonne OP pour le mec :)
Le 26/07/2016 à 11h58
Pour Youporn, c’est 20k + 2K, donc plus de 6k chacun.
C’est clair que ce n’est pas le même boulot derrière par contre.
Le truc que je me demande, c’est pour le cas de Youporn le programme annonce des primes jusqu’à 25k, et vu ce qu’ils ont trouvés et l’accès qu’ils ont eu, je comprend pas que la prime n’ai pas été le maximum.
Après les hackeurs remercient l’équipe de Youporn pour la rémunération qu’ils estiment eux-mêmes assez haute.
Le 26/07/2016 à 12h16
Ils ont peut-être eu droit à un abonnement gratuit à vie, mais il n’y a pas eu de communication là dessus.
" />
Le 26/07/2016 à 12h19
http://lmgtfy.com/?q=vine
Le 26/07/2016 à 12h20
Et on dit Merci qui ??
Le 26/07/2016 à 12h28
Il faut le dire au rédacteur que l’on peut trouver des informations grâce à Google. C’est peut-être parce qu’il ne savait pas ce que c’était qu’il n’a pas indiqué de quoi il s’agissait.
" />
Je n’en demande pas des pages, mais juste une petite phrase.
Le 26/07/2016 à 14h31
Je vois bien que YouP0rn est ton site préféré 
" /> mais sa reste sur P0rnHub cette histoire :)
" />
Pour plus de détail :
https://www.evonide.com/how-we-broke-php-hacked-pornhub-and-earned-20000-dollar/
Mais tu as raison sur le montant de $20K
Le 26/07/2016 à 14h53
PornHub ? Connait pas, c’est quoi cette merde ? 
" />
" />
#YouP0rnFTW
Le 26/07/2016 à 07h54
Et un ingénieur qui cherche du boulot quelque part. Un
Le 26/07/2016 à 08h03
comment on peut laisser un sous domaine aussi important ouvert au public? même pas un petit login/password dessus?
Le 26/07/2016 à 17h26
10k $, c’est tjs mieux que les casquettes de la SNCF (cf l’article sur le bug de la SNCF).
DSL, j’ai pas le lien sur nextinpact
Le 28/07/2016 à 22h56
$10k pour ça c’est risible…. ou alors vine ça marche pas tant que ça.