GDPR.EU sollte Ratschläge zum virtuellen Datenschutz geben, enthüllte jedoch stattdessen Passwörter
Am Montag schrieben Vangelis Stykas und Joe Durbin von Pen Test Partners über die Ironie, ein Datenleck in GDPR.EU zu finden. Wie Sie sehen können, wurde das Leck (das inzwischen gesichert wurde) von einer Website behoben, die der vor einigen Jahren verabschiedeten Allgemeinen Datenschutzverordnung der Europäischen Union gewidmet ist. Die Webseite wurde teilweise von der EU selbst finanziert und soll Organisationen Informationen darüber geben, was sie tun müssen, um die DSGVO einzuhalten.
Sie können sehen, warum jemand das Leck als "ironisch" einstuft, aber wenn Sie die Geschichte aus einem anderen Blickwinkel betrachten, können Sie argumentieren, dass eine GDPR-bezogene Website, auf der Daten verloren gehen, absolut keine Ironie enthält. Jede Website kann unabhängig von ihrem Zweck theoretisch anfällig für Cyberangriffe werden. Was in diesem speziellen Fall jedoch ironisch ist, ist, wie GDPR.EU die Daten durchgesickert ist und wer für ihre Sicherheit verantwortlich war.
Table of Contents
Ein exponierter .git-Ordner gefährdet GDPR.EU
Die Entwickler von GDPR.EU verwendeten ein Git-Entwicklungstool, um die Versionen ihres Codes und die Änderungen, die sie daran vornehmen, zu verfolgen. Wenn diese Tools zum Erstellen von Websites verwendet werden, speichern sie viele vertrauliche Informationen (einschließlich des gesamten Quellcodes) in einem .git-Ordner, der standardmäßig im Stammverzeichnis abgelegt wird. Entwickler, die mit dem Starten einer Website beauftragt sind, kopieren das Stammverzeichnis häufig einfach auf den Produktionsserver, und .git-Ordner werden auch online angezeigt. Auf dem Server sind bereits vertrauliche Informationen verfügbar. Wenn die Verzeichnisliste aktiviert ist (ein Konfigurationsfehler, der nicht so ungewöhnlich ist, wie er sein sollte), ist das Durchsuchen von Informationen von überall auf der Welt trivial.
Im Fall von GDPR.EU fanden die Experten von Pen Test Partners, als sie einen Blick in den Ordner .git werfen, einige Dateien, die von WordPress, dem Content-Management-System, auf dem die Website basiert, erstellt wurden. Eine davon, wp-config.php, enthielt das Passwort für die MySQL-Datenbank von GDPR.EU. Wie die Forscher betonten, handelt es sich um ein internes System, sodass die Verwendung dieses Kennworts zum Beschädigen oder Stehlen der Datenbank nicht einfach wäre. Trotzdem ist die Wiederverwendung von Passwörtern heutzutage so verbreitet, dass wir nicht ausschließen sollten, dass dieselben Anmeldeinformationen andere GDPR.EU-bezogene Ressourcen freischalten. Darüber hinaus enthielt der Ordner .git auch eindeutige Authentifizierungsschlüssel und -salze, die laut Pen Test Partners es Angreifern ermöglichen könnten, die Website zu verunstalten oder zu gefährden.
Öffentliche .git-Ordner sind seit einiger Zeit ein Problem
.git-Ordner sind nichts Neues und auch nicht die Konfigurationsfehler, die zu ihrer Offenlegung führen. Seit Jahren sprechen Sicherheitsforscher über die Bedeutung der Sicherung der Daten in .git-Ordnern, und es wurden zahlreiche Umfragen durchgeführt, die zeigen, dass Entwickler und Systemadministratoren den Rat nicht beachten. So hat der tschechische Sicherheitsexperte Vladimir Smitka im Jahr 2018 rund 230 Millionen Domains gescannt und festgestellt, dass 390.000 von ihnen ihre .git-Ordner offengelegt haben. Der Scan kostete ihn 250 US-Dollar, was angesichts der Kosten einer einzelnen Verletzung nichts ist. Im Gegensatz dazu gaben Pen Test Partners nicht einmal einen Cent aus, um herauszufinden, dass GDPR.EU seine Daten offengelegt hatte.
Es gibt eine Browser-Erweiterung, mit der Websites identifiziert werden können, bei denen aufgrund eines öffentlichen .git-Ordners Daten verloren gehen. Es heißt DotGit und ist völlig kostenlos erhältlich. Ein Mitglied des Teams der Pen Test Partners ließ es installieren und suchte einfach nach weiteren Informationen zu GDPR. So einfach war es, das Datenleck zu finden. Glücklicherweise war es auch nicht allzu schwierig, das Problem zu beheben.
Die Entwickler von ProtonMail haben den Fehler gemacht
Innerhalb von vier Tagen nach der ersten Veröffentlichung wurde der .git-Ordner gesichert und die Informationen waren nicht mehr öffentlich zugänglich. Interessant (und leicht ironisch) ist, dass das Unternehmen, das die Sicherheit von GDPR.EU betreibt und dafür verantwortlich ist, Proton Technologies AG heißt, der Entwickler von ProtomMail. Mit anderen Worten, die Personen, die Benutzern einen vollständig sicheren, durchgängig verschlüsselten E-Mail-Dienst versprechen, haben einen ziemlich grundlegenden Konfigurationsfehler gemacht, der ein gesamtes Projekt gefährden könnte. Hoffen wir, dass wir in Zukunft weniger solche Vorfälle sehen.