Vine’daki Dev Güvenlik Açığı Kapatıldı

0
190

Diğer birçok teknoloji şirketi gibi Twitter’da sistemlerinde açık bulan iyi niyetli hackerlar için bir ödül programı yürütüyor. Oldukça tatmin edici miktarlarda ödemeler yapan bu program sayesinde hem sistemlerdeki açıklar kapatılıyor, hem de yazılım güvenliğini sağlamak için personel istihdam edilmesine gerek kalmıyor. Gönüllü olarak açık arayan hackerlar, şayet bir güvenlik açığı yakalarlarsa ödeme almaya hak kazanıyorlar.

Twitter’ın düzenlediği ödül programına katılan “avicoder” isimli bir hacker, 7 saniyelik video paylaşım platformu Vine’da ciddi bir güvenlik açığı yakaladı. Sistem güvenliğini test ederken bu kadar ciddi bir açıkla karşılaşmayı muhtemelen beklemeyen “avicoder”, censys.io isimli yazılımı kullanarak Vine’ın bir alt domainindeki Docker isimli yazılımın konfigürasyon ayarlarına erişebildi.

Daha fazla araştırmaya devam ettikçe ve yeni API sorguları çalıştırdıkça “vinewww” ismi verilen sisteme erişen iyi niyetli hacker, Vine’ın tüm yazılımını indirip çalıştırabilmeyi başardı. Kişisel bilgisayarında Vine’ın birebir aynısını çalıştırmayı başaran hackerın ele geçirdiği bilgi ve dosyalar arasında kaynak kodları, API anahtarları ve diğer birçok özel dosya da mevcut.

Vine’ın, dolaylı olarak da Twitter’ın böylesi bir güvenlik açığını yakalayan “avicoder” nihayet Vine’ın bu açığının kapanmasına yardımcı oldu. Şuanda Vine’da bilinen herhangi bir güvenlik açığı yok, ancak böylesi bir hataya imza atan ve dosyaları rahatlıkla erişilebilir halde depolayan Twitter’ın bu saatten sonra daha da dikkatli olacağı muhakkak.

İlgili açığı bulan “avicoder”ın Twitter’dan 10 bin 80 dolar ödül aldığını da not düşelim.

CEVAP VER