Videoslužba Vine patří Twitteru, který si ji pořídil jako odpověď na rozmáhající se sdílení krátkých videoklipů šířících se na Instagramu a Facebooku.
Už to ale málem vypadalo, že se z uzavřeného projektu stane nechtěně Open Source. Avicoder, hledač chyb v bezpečnosti, už pár chyb v Twitteru našel, nedávno se ale zkusil podívat, zda se nedostanete k něčemu zajímavému u služby Vine.
Prozkoumal dostupné domény třetího řádu a služba Censys.io mu nabídla url https://docker.vineapp.com, která v prohlížeči vypsala
/* private docker registry */
Docker slouží k zabalení aplikací do samostatných balíčků schopných jet na různých platformách. Soukromý registr se může využít pro sdílení obrazů v internetu a tak se chtěl Avicoder podívat, jaké obrazy najde. Zkusil se tedy připojit ze svého počítače pomocí Docker aplikace a kupodivu v seznamu složek ke stažení našel i vinewww.
Vine.co jede na localhostu ze stažených zdrojáků
Po stažení zjistil, že je to kompletní zdroják pro web Vine, včetně privátních API klíčů. Zkopírovaný obsah šel spustit přímo na počítači.
O svých zjištěních informoval Twitter a pouhých pět minut po zaslání podrobných informací o chybě Twitter chybu opravil. Jako odměnu mu Twitter vyplatil 10 080 dolarů. Naprázdno tedy určitě nevyšel.