パスワードを忘れた? アカウント作成
Close
12869242 story
Twitter

不適切に公開されていたDockerイメージにより、Vineのソースコードが流出 14

ストーリー by headless
発見 部門より
あるAnonymous Coward 曰く、

やや旧聞となるが、ハッカーのavicoder氏が、不適切に公開されていたDockerイメージから動画共有サービス「Vine」の非公開のソースコードを入手することに成功していたそうだ(avicoder氏のブログ記事The Hacker Newsの記事)。

手法を簡単にまとめると以下のようになる。

  1. Censysでエントリーポイントになりそうなサブドメインを検索し「docker.vineapp.com」を発見
  2. Webブラウザーでアクセスすると「/* private docker registry */」と表示されるため、Dockerイメージのホストや共有をするためのサーバーと推定してアクセスしたところ、多数のDockerイメージが公開状態になっていることを確認
  3. 「vinewww」というそれらしい名前のイメージをダウンロードして実行したところ、Vineで使われているソースコードがイメージ内に含まれていることが判明

avicoder氏はこの脆弱性をVineの運営元であるTwitterに報告し、脆弱性報告に対する報奨金を受け取ったとのこと。とりあえず、一般には公開していないドメインだからといってアクセス制限やセキュリティを怠ると、このように外部から発見されて狙われる、ということがあるので注意したい。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

不適切に公開されていたDockerイメージにより、Vineのソースコードが流出 More

  • 今までずっとそういう状態だったわけで、
    既に他の攻撃者に取得されてる可能性は無いんだろうか。

    ソース取られて解析されてたりしたら結構危なそうに思える。

    --
    --------------------
    /* SHADOWFIRE */

  • 某サイト (スコア:0)

    by Anonymous Coward on 2016年08月07日 15時55分 (#3059469)

    某サイトはAmazon S3で非公開ファイルが丸見えだったなぁ。
    一応、リバースプロキシ通して小細工してたようだけど、S3のアカウントが丸見えという…。

    # 日本は脆弱性報告しても報奨金貰えないから、報告する義理は無いけどね…。
    # クレジットすら載せてくれねぇ。

    • Re: (スコア:0)

      by Anonymous Coward

      それどころか訴えられたりISPに圧力かけられてアカウント止められたりするからねえ。佐賀県の事件は必然だったとしか

      • Re:某サイト (スコア:2)

        by ogino (1668) on 2016年08月08日 5時03分 (#3059657) 日記

        そういうときは JPCERT コーディネーションセンターのインシデントの報告 [jpcert.or.jp]を使うものだと思います。内容確認とか連絡先・担当者を探すとかをお任せできます。

        はじめての JPCERT/CC [jpcert.or.jp]:

        インシデント対応

        情報システムにおけるインシデントとは、正当な権限をもたない人がコンピュータを不正に利用するようなコンピュータのセキュリティに関わる事件、出来事の全般を指します。このようなインシデントが発生した場合、その被害の拡大を最小限にするための「事後」対応を、インシデントレスポンスと呼んでいます。JPCERT/CCでは、国内外の関連組織と連携して、コンピュータセキュリティインシデントに係わる報告の受付、対応の支援などのインシデントレスポンスを行っています。

        シェア
        親コメント

        • Re: (スコア:0)

          by Anonymous Coward

          コレ思い出した [hatena.ne.jp]。
          この記事はIPAのだけど体裁は大差ないし匿名通報を受け付けてくれうのかだいぶ不安。
          匿名無理なら「4. 報告者に損をさせない」の懸念はあまり変わらないよなぁ…。

          • 匿名通報 (スコア:2)

            by ogino (1668) on 2016年08月09日 23時14分 (#3060799) 日記

            連絡がつかないというのは困るでしょうけど、捨てフリーメールアドレスをとってメールなりで通報すれば、あとは JPCERT/CC の方でどうするか考えるんじゃないでしょうか。Web フォームだと氏名とメールアドレスが必須になっていますが、氏名欄を匿名希望とでもしておけば良いように思います。

            連絡が付くようにしておけば、どうしても匿名でダメというときにはそのように回答してくるでしょうし、悩むよりもやってみるほうが簡単かと。

            シェア
            親コメント

            • Re: (スコア:0)

              by Anonymous Coward

              本件につきまして、ガイドラインの以下の項目に記載がありますよ
              うに、届出の際には発見者様の氏名をご記入頂いております。
              これは、責任ある届出を促すためであり、匿名やハンドルネームの
              届出は受理できませんので、実名での届出にご協力をお願い致します。

              IPAは初手の時点では駄目だったみたい [hatena.ne.jp]だけど、JPCERT/CCは違うといいね…………と思ったけど。

      • Re: (スコア:0)

        by Anonymous Coward

        自分もそう思った
        穴に気がついても見なかったことにして放置するのが一番

  • え?VineLinuxはもともとオープンソースぢゃ? (スコア:0)

    by Anonymous Coward on 2016年08月07日 18時39分 (#3059535)

    って思った人、もういないかな。

    • Re: (スコア:0)

      by Anonymous Coward

      あまりちゃんと読まないで、すわProject Vineがクラックされたか、と一瞬どきりとした奴ならここにひとりいます。

      Vine(源流はPJEのRed Hatローカライズ)もPlamo(同Slackware)もこないだのOSC Kyotoに出展してました。
      どちらもそれなりに生き延びてますね。

      Momonga(Kondara移籍プロジェクト)の方は最近更新ないけど、どうしたのかな...

    • Re: (スコア:0)

      by Anonymous Coward

      実はTeX環境として細々使わせてもらってますけどね
      最近はTeXLiveとかでさくっとセットアップできるようになったとはいえ
      貴重な日本語特化環境としては特定用途としてはまだ需要はある…のか?

typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall