De ontdekking van de complete source code voor de online Powerpoint-tegenhanger viel volgens Prezi namelijk niet in de scope van de bughunt die het houdt. De bedoeling van die wedstrijd, waarbij gatenontdekkers beloond worden, is het kritisch doornemen van specifieke subdomeinen van Prezi. Daarbij geeft het bedrijf ook specifieke soorten kwetsbaarheden op die in aanmerking komen voor de uitgeloofde bugpremies.

Open inlog, open vergaarbak, plaintext credentials

De Australische security-onderzoeker Shubham Shah ging na twee uur zoeken in het bedoelde bereik van de wedstrijd echter verder. Flink verder. Hij vond op het subdomein intra.prezi.com een openlijk toegankelijk beheersysteem voor software-ontwikkeling (Sonatype Nexus). Voor inloggen op die source code-repository was wel een gebruikersnaam en wachtwoord nodig.

En die vond de hacker met wat simpel gegoogle in een volledig openstaande repository van één van Prezi's eigen ontwikkelaars. Daarin stond namelijk de URL voor Prezi's hoofd-repository en die openstaande code-vergaarbak (bij repository-hoster Bitbucket) was al geïndexeerd door Google. In de eigen vergaarbak van Prezi-developer Adam stond een config-bestand met daarin, in plain text, zijn gebruikersnaam en wachtwoord voor Prezi's Nexus-systeem.

Reactie 1: sorry, niet geldig

Bughunter Shah controleerde die credentials door in te loggen en toen dat was gelukt, lichtte hij meteen het securityteam van Prezi in. Enkele dagen na het melden van dit grote beveiligingsgat kreeg hij echter te horen dat zijn vondst niet in aanmerking kwam voor een bugbeloning. Het intra-subdomein valt namelijk niet onder de wedstrijd en door in te loggen met bestaande, geldige inloggegevens had hij de voorwaarden van de bughunt geschonden.

Aanvankelijk wou Prezi de vondst van zijn kroonjuwelen niet belonen:

Reactie 2: sorry, we leren hiervan

Na nog een reply met uitleg waarom zijn vondst wel degelijk een serieuze bug vertegenwoordigt, zag Shah teleurgesteld van de zaak af. Hij heeft het voorval nog wel uiteengezet in een blogpost. Terwijl Prezi intern nog discussies had over de ontdekking van de complete broncode, deed de blogpost van de bughunter flink wat stof opwaaien. Vanmorgen heeft Prezi besloten - en aan Shah gemeld - dat zijn vondst toch beloond wordt.

Verder heeft het bedrijf zijn bugprogramma aangepast, zodat ook grotere gaten buiten de scope van een specifieke wedstrijd worden erkend en beloond. Op voorwaarde dat daarbij niet de informatie van gebruikers wordt geschonden, en dat de melding zorgt voor een verbetering van de codebasis voor Prezi. "We zullen ook retroactief controleren of andere rapporten kwesties hebben gevonden die in deze categorie vallen."