Sin duda, uno de los bienes más preciados de las empresas de informática es el código fuente de sus plataformas. Por lo general, este código fuente se debe almacenar de forma segura dentro de la red local de manera que nadie ajeno pueda acceder a él sin los permisos correspondientes, ni siquiera los propios trabajadores, quienes tan solo pueden acceder a la parte en la que trabajan, pero nunca al código completo. Recientemente, un fallo de seguridad en Twitter ha estado a punto de salirle muy caro a la empresa hasta el punto de haber expuesto el código fuente completo de uno de sus productos estrella: Vine.
El pasado 31 de marzo, el investigador de seguridad Avicoder descubrió un serio fallo de seguridad en los servidores de Twitter, concretamente en una mala configuración de los contenedores Docker, una plataforma de código abierto que nos permite virtualizar servidores e infraestructuras tanto para uso interno como para brindar un servicio a través de Internet a un bajo coste.
Una mala configuración de Docker es la responsable de haber expuesto el código fuente de Vine
Por defecto, Docker no suele instalarse de manera que se permita el acceso público a los contenedores de manera que ningún tipo de información sensible, como código fuente, pueda verse expuesta, sin embargo, tal como ha demostrado este investigador de seguridad, en esta ocasión así ha sido, lo que podía haber sido una catástrofe para la compañía.
Además, el experto de seguridad ha asegurado que Twitter no estaba ejecutando la última versión de Docker, la v2, sino una API bastante más vieja de la versión 1 que exponía el contenedor a una serie de comandos remotos que podían, por ejemplo, mostrar la configuración de la instalación del Docker de Twitter.
Este investigador de seguridad encontró un total de 80 contenedores de Docker de la plataforma de Twitter. Tras instalar varios de ellos en su ordenador personal para analizarlos, en uno de ellos encontró todo el código fuente de la plataforma Vine. Entre la información descubierta, el experto de seguridad fue capaz de acceder al código completo, a la API e incluso a las claves secretas y de terceros. Incluso fue capaz de montar su propio Vine localmente.
Tras reportar el fallo a la compañía, Twitter protegió correctamente todo su entorno Docker y recompensó al investigador con 10.080 dólares por haber encontrado y reportado el fallo en lugar de utilizarlo para su propio beneficio.
Está claro que la computación en la nube es el futuro y que nos permite disponer de una potencia muy superior a la de un servidor centralizado y mucho más económica, sin embargo, los riesgos ante una mala configuración son muy elevados, por lo que, antes de dar el gran salto a Docker y otras plataformas similares, es recomendable formarse en la seguridad de este tipo de contenido y comprobar esta periódicamente para evitar la presencia de posibles fallos de seguridad y configuración.
¿Crees que las empresas que optan por virtualizar contenedores exponen seriamente sus datos más privados?
Os recomendamos visitar el tutorial los mejores buscadores de Internet que utilizan los hackers.