GDPR.EU sollte Ratschläge zum virtuellen Datenschutz geben, enthüllte jedoch stattdessen Passwörter

GDPR.EU Data Leak

Am Montag schrieben Vangelis Stykas und Joe Durbin von Pen Test Partners über die Ironie, ein Datenleck in GDPR.EU zu finden. Wie Sie sehen können, wurde das Leck (das inzwischen gesichert wurde) von einer Website behoben, die der vor einigen Jahren verabschiedeten Allgemeinen Datenschutzverordnung der Europäischen Union gewidmet ist. Die Webseite wurde teilweise von der EU selbst finanziert und soll Organisationen Informationen darüber geben, was sie tun müssen, um die DSGVO einzuhalten.

Sie können sehen, warum jemand das Leck als "ironisch" einstuft, aber wenn Sie die Geschichte aus einem anderen Blickwinkel betrachten, können Sie argumentieren, dass eine GDPR-bezogene Website, auf der Daten verloren gehen, absolut keine Ironie enthält. Jede Website kann unabhängig von ihrem Zweck theoretisch anfällig für Cyberangriffe werden. Was in diesem speziellen Fall jedoch ironisch ist, ist, wie GDPR.EU die Daten durchgesickert ist und wer für ihre Sicherheit verantwortlich war.

Ein exponierter .git-Ordner gefährdet GDPR.EU

Die Entwickler von GDPR.EU verwendeten ein Git-Entwicklungstool, um die Versionen ihres Codes und die Änderungen, die sie daran vornehmen, zu verfolgen. Wenn diese Tools zum Erstellen von Websites verwendet werden, speichern sie viele vertrauliche Informationen (einschließlich des gesamten Quellcodes) in einem .git-Ordner, der standardmäßig im Stammverzeichnis abgelegt wird. Entwickler, die mit dem Starten einer Website beauftragt sind, kopieren das Stammverzeichnis häufig einfach auf den Produktionsserver, und .git-Ordner werden auch online angezeigt. Auf dem Server sind bereits vertrauliche Informationen verfügbar. Wenn die Verzeichnisliste aktiviert ist (ein Konfigurationsfehler, der nicht so ungewöhnlich ist, wie er sein sollte), ist das Durchsuchen von Informationen von überall auf der Welt trivial.

Im Fall von GDPR.EU fanden die Experten von Pen Test Partners, als sie einen Blick in den Ordner .git werfen, einige Dateien, die von WordPress, dem Content-Management-System, auf dem die Website basiert, erstellt wurden. Eine davon, wp-config.php, enthielt das Passwort für die MySQL-Datenbank von GDPR.EU. Wie die Forscher betonten, handelt es sich um ein internes System, sodass die Verwendung dieses Kennworts zum Beschädigen oder Stehlen der Datenbank nicht einfach wäre. Trotzdem ist die Wiederverwendung von Passwörtern heutzutage so verbreitet, dass wir nicht ausschließen sollten, dass dieselben Anmeldeinformationen andere GDPR.EU-bezogene Ressourcen freischalten. Darüber hinaus enthielt der Ordner .git auch eindeutige Authentifizierungsschlüssel und -salze, die laut Pen Test Partners es Angreifern ermöglichen könnten, die Website zu verunstalten oder zu gefährden.

Öffentliche .git-Ordner sind seit einiger Zeit ein Problem

.git-Ordner sind nichts Neues und auch nicht die Konfigurationsfehler, die zu ihrer Offenlegung führen. Seit Jahren sprechen Sicherheitsforscher über die Bedeutung der Sicherung der Daten in .git-Ordnern, und es wurden zahlreiche Umfragen durchgeführt, die zeigen, dass Entwickler und Systemadministratoren den Rat nicht beachten. So hat der tschechische Sicherheitsexperte Vladimir Smitka im Jahr 2018 rund 230 Millionen Domains gescannt und festgestellt, dass 390.000 von ihnen ihre .git-Ordner offengelegt haben. Der Scan kostete ihn 250 US-Dollar, was angesichts der Kosten einer einzelnen Verletzung nichts ist. Im Gegensatz dazu gaben Pen Test Partners nicht einmal einen Cent aus, um herauszufinden, dass GDPR.EU seine Daten offengelegt hatte.

Es gibt eine Browser-Erweiterung, mit der Websites identifiziert werden können, bei denen aufgrund eines öffentlichen .git-Ordners Daten verloren gehen. Es heißt DotGit und ist völlig kostenlos erhältlich. Ein Mitglied des Teams der Pen Test Partners ließ es installieren und suchte einfach nach weiteren Informationen zu GDPR. So einfach war es, das Datenleck zu finden. Glücklicherweise war es auch nicht allzu schwierig, das Problem zu beheben.

Die Entwickler von ProtonMail haben den Fehler gemacht

Innerhalb von vier Tagen nach der ersten Veröffentlichung wurde der .git-Ordner gesichert und die Informationen waren nicht mehr öffentlich zugänglich. Interessant (und leicht ironisch) ist, dass das Unternehmen, das die Sicherheit von GDPR.EU betreibt und dafür verantwortlich ist, Proton Technologies AG heißt, der Entwickler von ProtomMail. Mit anderen Worten, die Personen, die Benutzern einen vollständig sicheren, durchgängig verschlüsselten E-Mail-Dienst versprechen, haben einen ziemlich grundlegenden Konfigurationsfehler gemacht, der ein gesamtes Projekt gefährden könnte. Hoffen wir, dass wir in Zukunft weniger solche Vorfälle sehen.

Bis Duran
April 28, 2020
News
Deutsch
April 28, 2020
News

Beliebte Beiträge

Microsoft warnt staatlich unterstützte Bedrohungsakteure vor...

vor 4 days

Trojan Al11 Malware-Erkennung

vor 11 months

Pinaview ist eine voll ausgestattete Adware-App

vor 10 months

Pop-ups „Ihre iCloud wird gehackt“ und „Ihr iPhone wurde...

vor 7 months

Was ist Lucky Ransomware?

vor 7 months

E-Mail-Betrug „American Express – Aktualisieren Sie Ihre...

vor 6 months
Deutsch
Lade...

Cyclonis Backup Details & Terms

Mit dem Free Basic Cyclonis Backup-Plan erhalten Sie 2 GB Cloud-Speicherplatz mit voller Funktionalität! Keine Kreditkarte benötigt. Benötigen Sie mehr Stauraum? Kaufen Sie noch heute einen größeren Cyclonis Backup-Plan! Um mehr über unsere Richtlinien und Preise zu erfahren, sehen SieNutzungsbedingungen, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.