Een beveiligingsonderzoeker is erin geslaagd de populaire afbeeldingendienst Imgur te hacken via Google en een oud beveiligingslek in een ElasticSearch-server. Onderzoeker Nathan Malcolm rapporteerde de problemen aan Imgur en kreeg uiteindelijk 5.000 dollar voor zijn melding.

Hij heeft zijn bevindingen nu openbaar gemaakt. Via Imgur kunnen gebruikers afbeeldingen uploaden en delen. Vorig jaar september werd het slachtoffer van een hack waarbij de website werd gebruikt voor het uitvoeren van een ddos-aanval op andere websites. De afbeeldingendienst besloot daarop een beloningsprogramma voor hackers te beginnen. Malcolm had in het verleden al vaker problemen in Imgur ontdekt en gerapporteerd en ging op zoek naar nieuwe kwetsbaarheden.

Bij het bekijken van de html-broncode ontdekte hij een verwijzing naar het interne ontwikkeldomein van Imgur, imgur-dev.com. Een zoekopdracht via Google leerde dat Google het subdomein alan.imgur-dev.com had geïndexeerd, dat een ontwikkelversie van Imgur bevatte. De server was op dat moment echter offline. Via een gecachte kopie van de pagina ontdekte Malcolm echter interessante informatie, zoals databasetabellen en kolomnamen.

Een paar weken later besloot Malcolm weer naar alan.imgur-dev.com te kijken en de omgeving was nu wel online. Via de tool SubBrute wilde hij achterhalen of er andere interessante sub-subdomeinen waren. Al gauw ontdekte Malcolm het sub-subdomein es.alan.imgur-dev.com. Het bleek hier om een server met de zoekmachinesoftware Elasticsearch te gaan. De software was echter al geruime tijd niet geüpdatet en bleek een kwetsbaarheid uit 2014 te bevatten. Via de kwetsbaarheid slaagde Malcolm erin om wachtwoorden, api-sleutels en inloggegevens voor lokale en remote MySQL-servers te achterhalen.

De onderzoeker wist echter niet de hostnaam van de remote MySQL-server. Hij besloot dan ook door te gaan met het zoeken naar subdomeinen tot hij sql.alan.imgur-dev.com ontdekte. Hij bezocht het domein en kreeg een phpMyAdmin-venster te zien. Met phpMyAdmin kunnen databases worden beheerd. Via het inlogvenster kon hij verschillende hosts kiezen om verbinding mee te maken. Hij koos een remote server die in de Amazon-cloud werd gehost, vulde de eerder gevonden inloggegevens in en had volledige toegang tot de productiedatabase van Imgur.

Ook ontdekte hij een configuratiebestand met de toegangssleutels voor de ontwikkel- en productieomgeving op Amazon. Hiermee had Malcolm naar eigen zeggen Imgur "volledig kunnen vernietigen". Hij besloot echter een melding van het probleem te maken, waarna de server 30 minuten later uit de lucht werd gehaald. Voor zijn melding ontving de onderzoeker 500 dollar. Hij was echter niet te spreken over de hoogte van de beloning, zeker gezien de impact van de gevonden problemen. Een week later kreeg hij een reactie van de Imgur-ceo die Malcolm gelijk gaf en de beloning naar 5.000 dollar verhoogde.