Mérida, Yucatán 97314, México

ventas@hals.com.mx

El código fuente de Vine en manos de un Hacker

Una mala configuración de Docker es la responsable de haber expuesto el código fuente de Vine, por defecto, Docker no suele instalarse de manera que se permita el acceso público a los contenedores de manera que ningún tipo de información sensible, como código fuente, pueda verse expuesta, sin embargo, tal como ha demostrado este investigador de seguridad, en esta ocasión así ha sido, lo que podía haber sido una catástrofe para la compañía.

Sin duda, uno de los bienes más preciados de las empresas de informática es el código fuente de sus plataformas. Por lo general, este código fuente se debe almacenar de forma segura dentro de la red local de manera que nadie ajeno pueda acceder a él sin los permisos correspondientes, ni siquiera los propios trabajadores, quienes tan solo pueden acceder a la parte en la que trabajan, pero nunca al código completo. Recientemente, un fallo de seguridad en Twitter ha estado a punto de salirle muy caro a la empresa hasta el punto de haber expuesto el código fuente completo de uno de sus productos estrella: Vine.

El pasado 31 de marzo, el investigador de seguridad Avicoder descubrió un serio fallo de seguridad en los servidores de Twitter, concretamente en una mala configuración de los contenedores Docker, una plataforma de código abierto que nos permite virtualizar servidores e infraestructuras tanto para uso interno como para brindar un servicio a través de Internet a un bajo coste.

Además, el experto de seguridad ha asegurado que Twitter no estaba ejecutando la última versión de Docker, la v2, sino una API bastante más vieja de la versión 1 que exponía el contenedor a una serie de comandos remotos que podían, por ejemplo, mostrar la configuración de la instalación del Docker de Twitter.

Este investigador de seguridad encontró un total de 80 contenedores de Docker de la plataforma de Twitter. Tras instalar varios de ellos en su ordenador personal para analizarlos, en uno de ellos encontró todo el código fuente de la plataforma Vine. Entre la información descubierta, el experto de seguridad fue capaz de acceder al código completo, a la API e incluso a las claves secretas y de terceros. Incluso fue capaz de montar su propio Vine localmente.

Tras reportar el fallo a la compañía, Twitter protegió correctamente todo su entorno Docker y recompensó al investigador con 10.080 dólares por haber encontrado y reportado el fallo en lugar de utilizarlo para su propio beneficio.

Está claro que la computación en la nube es el futuro y que nos permite disponer de una potencia muy superior a la de un servidor centralizado y mucho más económica, sin embargo, los riesgos ante una mala configuración son muy elevados, por lo que, antes de dar el gran salto a Docker y otras plataformas similares, es recomendable formarse en la seguridad de este tipo de contenido y comprobar esta periódicamente para evitar la presencia de posibles fallos de seguridad y configuración.

More from the blog

Descubre las Tendencias Más Innovadoras en Ciberseguridad en el Sophos Partner Roadshow 2023 en Mérida por Hals Intelligence

  Mérida, Yucatán - En un evento que reunió a cerca de 150 partners especializados en ciberseguridad, Sophos, la empresa líder en soluciones de ciberseguridad,...

Actualiza ya tu iPhone para combatir que te puedan espiar

Hoy hemos conocido que Apple ha neutralizado nuevas vulnerabilidades, las primeras de 2023 en los iPhone y que han sido catalogadas como del día...

Porque es importante la Ciberseguridad en las empresas de Yucatán, Hals Intelligence

El director de la empresa Hals Intelligence, Hugo López pionera en ciberseguridad en la peninsula nos habla sobre la importancia de la ciberseguridad...

Importancia de la Ciberseguridad para las personas y las empresas

La ciberseguridad es un tema de gran importancia en el mundo actual, ya que cada vez más nuestra vida cotidiana y nuestros negocios dependen...