7月25日訊Twitter存在高危漏洞，攻擊者能從服務器下載Vine（Vine是微軟公司開發基于地理位置的SNS系統）全部源代碼，此后Twitter花5分鐘時間修復了該漏洞。

安全研究員Avicoder發現這個漏洞，并于3月31日向Twitter反映情況。漏洞的核心在于Twitter員工使用不安全的Docker設置管理Vine的內容。

　　聯網Docker安裝泄露Vine源代碼

Docker是管理服務器鏡像、創建、輸送和管理應用程序的開放式平臺。Docker可用來配置筆記本電腦、虛擬機或云服務等的OS鏡像。

通常，由于Docker安裝處理的內容敏感，因此Docker安裝不供開放使用。Twitter的Docker安裝則允許Avicoder探測查看能發現的一切。

更糟的是，Twitter未運行最新版的Docker（v2），而是用的舊API，v1。通過Docker API v1文檔網站，Avicoder嘗試所有能找到的命令發現可以執行的操作。

Avicoder發現一系列命令可用，包括搜索和檢索Twitter Docker設置的內容。

研究員從Twitter Vine服務器下載超過80 個Docker鏡像

Avicoder能從Twitter Docker安裝發現并下載超過80個服務器鏡像。

Avicoder使用本地Docker客戶端在筆記本電腦安裝數個這些OS鏡像后，他發現其中一個服務器鏡像包含Vine服務的全部源代碼。

Avicoder解釋道，“我能看到Vine的全部源代碼、API密鑰以及第三方密鑰和秘密數據。甚至運行鏡像不需要任何參數，我能在本地托管Vine的副本。”

Avicoder向Twitter報告了漏洞，5分鐘后，Docker安裝被安全保護。Twitter為Avicoder給予10,080美元的漏洞報告獎金。