Docker-bommert: Programmør fik kildekode til videoapp med pull request

Kildekoden til den populære videoloop-app Vine blev frit afgivet fra privat Docker-register.

En it-dusørjæger har offentliggjort, hvordan han gennem et Docker-register kunne opsnappe kildekoden til Vine - en populær videoloop-app, der ejes af Twitter.

Det skriver The Register.

Læs også: Center for Cybersikkerhed afviser dansk dusørprogram: Ondsindede hackere kan undgå strafforfølgning

I jagten på en it-sikkerheds-dusør fandt GitHub-brugeren Vjeck frem til et Docker-register, som Vine-folket har brugt til at dele software-images over nettet.

Herefter kunne biblioteket downloades med en pull request, fortæller han i en blog på GitHub.

Læs også: Whitehat-hackere tester kundeklub med 1,6 mio. danske kvinders persondata

‘Jeg var i stand til at se hele kildekoden til Vine, dets API-nøgler, tredjepartsnøgler og hemmeligheder,’ skriver Vjeck, der også kunne køre en kopi af Vine lokalt.

Twitter fiksede problemet få minutter efter Vjeck demonstrerede svagheden i slutningen af marts, og udbetalte 10.080 dollars i dusør - svarende til omkring 68.000 kroner.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jacob Larsen

Det har vist ikke meget med en pull request at gøre. Han har fundet et ubeskyttet docker registry og downloadet et image fra det.

Hint: Pull request er det man laver når man vil sende kode upstream til et projekt på Github.

  • 6
  • 1
Mikkel Kruse Johnsen

Nej, der tager du fejl.

Pull kan bruges til måde Git og Docker.

"git pull" er når man vil hente nyeste kode fra upstream (ikke når man vil sende det, det er "push").

"docker pull" bruges til at hente et image fra et repository (register kalder de det her).

Så den er god nok.

  • 1
  • 3
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize