Исследователь информационной безопасности, известный как Avinash, нашел серьезную уязвимость в мобильном приложении Vine, которое позволяет создавать небольшие видеоролики продолжительностью 6 секунд. С помощью уязвимости эксперт скачал образ Docker, который содержит полноценный исходный код Vine.
Образ Docker должен быть по определению конфиденциальным, но в действительности он является доступным для всех пользователей. Для того, чтобы найти уязвимость, Avinash воспользовался бесплатной поисковой системой Censys, с помощью которой можно обнаруживать уязвимости и прочие проблемы в интернете. Используя Censys, эксперт нашел свыше 80 образов Docker. Особое внимание Avinash привлек образ vinewww. Исследователь предположил, что в нем содержится информация, связанная с сайтом Vine.
После того, как Avinash с помощью интерактивной оболочки запустил vinewww, он увидел весь исходный код Vine, ключи API и другую секретную информацию. Эксперт проинформировал об уязвимости Twitter, которая является владельцем приложения. На устранение ошибки специалисты потратили 5 минут. В качестве награды за найденную уязвимость руководство Twitter заплатило Avinash 10080 долларов.