Vine เผลอเปิด Docker Registry ออกอินเทอร์เน็ต ดาวน์โหลดซอร์สโค้ดได้ทั้งหมด

By: lew

on 26 July 2016 - 10:59 Tags:

Topics:

แฮกเกอร์ที่ใช้ชื่อว่า avicoder ทดสอบความปลอดภัยของ Vine ที่อยู่ภายใต้โครงการหาช่องโหว่ความปลอดภัยของทวิตเตอร์ และพบว่า Vine เปิด Docker Registry ออกสู่อินเทอร์เน็ต ทำให้ใครก็ได้สามารถดาวน์โหลดอิมเมจ 82 รายการมาลองรันในเครื่อง

อิมเมจที่สำคัญมากอันหนึ่งคือ vinewww เป็นซอร์สโค้ดของ Vine ทั้งหมด พัฒนาด้วย Python Flask ภายใน พร้อมด้วย API key บริการภายนอกอื่นๆ ตัวอิมเมจสามารถรันได้ทันทีและจะได้ Vine มารันบนเครื่องได้เอง

avicoder รายงานการค้นพบนี้ให้กับทวิตเตอร์ตั้งแต่เดือนมีนาคมที่ผ่านมา และทางทวิตเตอร์จ่ายรางวัล 10,080 ดอลลาร์

ที่มา - Avicoder, The Register

Hiring! บริษัทที่น่าสนใจ

Wisesight (Thailand) Co., Ltd.

Social Data Analytics

Hytexts Interactive Limited

ผู้พัฒนาระบบห้องสมุดออนไลน์ที่มียอดเติบโดยในการใช้งานเป็นอันดับ 1

Blendata co., ltd.,

Become our team which is startup culture but corporate benefits!

Comments

By: -Rookies-

on 26 July 2016 - 11:38 #928130

รางวัลน้อยมากเลยเมื่อเทียบกับราคาซอร์สโค้ด

เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!

By: checkmate95

on 26 July 2016 - 12:13 #928140 Reply to:928130

เห็นด้วยครับ โชคดีว่าที่ผู้ค้นพบเป็นคนที่มีจริยธรรมหากเอาไปขายใต้ดินอาจจะได้ราคาสูงมากและก่อให้เกิดความเสียหายได้อย่างมหาศาล แต่ใครจะไปนึกว่าจะได้ผลตอบแทนแค่นี้ เทียบกับขนาดของบัคแล้ว ไม่น่าต่ำกว่า 1 ล้านด้วยซ้ำ

By: PikaboyZ

on 26 July 2016 - 16:37 #928183 Reply to:928140

เราสามารถถามเงินรางวัล หรือโก่งเงินรางวัลได้มั้ยครับ หรือคิดว่า ถ้าบอกว่าเรารู้ปุ้ป คงต้องโดนบังคับให้บอก เพราะไม่งั้นคงโดนดำเนินคดี ถ้าบั้กมันหลุดไป เท่ากับว่าหลุดจากเรา งี้เปล่าครับ

By: checkmate95

on 26 July 2016 - 17:41 #928190 Reply to:928183

อันนี้ไม่แน่ใจครับมันพูดยาก ในกรณีนี้ผมคิดว่า avicoder พบบัคแล้วจึงแจ้งไปทาง Vine ให้แก้ไขซึ่งถ้าเป็นกรณีนี้ทาง Vine จะจ่ายหรือไม่จ่ายก็ได้ครับไม่ผิด ทาง Vine อาจจะขอบคุณเลยติดต่อกลับเพื่อมอบเงินรางวัล แต่ดูน้อยไปหน่อย กลับกันถ้าทาง avicoder บอกว่าค้นพบบัคแล้วไม่ส่งไปให้แล้วบอกว่าต้องมอบเงินเป็นจำนวน ... อันนี้ avicoder ผิดครับมีสิทธิ์โดนฟ้องได้เพราะไม่ต่างจากการเรียกค่าไถ่ ดังนั้นการแจ้งไปเพื่อโก่งราคาบัคไม่น่าจะเป็นไปได้ครับ ส่วนเรื่องถ้าบัคหลุดแล้วเกิดความเสียหาย แล้วทาง Vine รู้ว่า avicoder เป็นหนึ่งในผู้รู้บัคส่วนนี้ก็โดนสอบสวนแหละครับถ้าพิสูจน์ได้ว่าบริสุทธิ์ก็ไม่มีปัญหา นึกถึงโคนันที่ผู้อยู่ในเหตุการณ์ต้องเป็นพยานแต่จะเป็นคนร้ายหรือเปล่าก็อีกเรื่อง ว่ากันไปตามกฏหมายครับ กฏหมายของอเมริกาผมก็ไม่รู้เหมือนกัน เรื่องกฏหมายมันพูดกันยากตีความแต่ละครั้งก็ออกมาไม่เหมือนกัน แต่ละประเทศก็มีกฏต่างกัน ผมเคยคุยกับอาจารย์ที่สอน พรบ.คอม ตรงมาตราหกที่บอกว่า "ผู้ใดล่วงรู้มาตรการป้องกันการเข้าถึงระบบคอมพิวเตอร์ที่ผู้อื่นจัดทำขึ้นเป็นการเฉพาะถ้านำมาตรการดังกล่าวไปเปิดเผยโดยมิชอบในประการที่น่าจะเกิดความเสียหายแก่ผู้อื่น ต้องระวางโทษจำคุกไม่เกินหนึ่งปี หรือปรับไม่เกินสองหมื่นบาท หรือทั้งจำทั้งปรับ" อันนี้ผิดในไทยแต่ถ้ามาดูแล้วอเมริกาเค้ามีโครงการเช่น Zero Project ของ Google ที่หาแล้วแจ้งกลับให้อัพเดทภายใน 90 ก่อนจะนำช่องโหว่มาเปิดเผย

By: PikaboyZ

on 27 July 2016 - 10:09 #928299 Reply to:928190

แบบนี้เอาไปปล่อยใต้ดินคงได้เงินเยอะกว่าบานเลยสินะ 555+

เหมือนที่ผมคิดครับ ว่าถ้าคิดจะบอกให้เค้ารู้ ต้องไม่คิดเรื่องผลประโยชน์ เค้าให้ถือเป็นกำไร แต่ถ้าเค้าไม่ให้ หรือให้น้อยเกินไป คงทำใจได้อย่างเดียว(ในกรณีหวังผลประโยชน์ตอบแทน)

By: btoy

on 26 July 2016 - 13:25 #928148 Reply to:928130

เห็นด้วย

..: เรื่อยไป

By: TeamKiller

on 26 July 2016 - 12:04 #928138

อีกข่าวที่แจ้งช่องโหว่ ยังได้เงินเยอะกว่าเลย ฮ่าๆ

Main menu