Το GDPR.EU είχε σκοπό να δώσει συμβουλές σχετικά με το εικονικό απόρρητο, αλλά αντίθετα εξέθεσε κωδικούς πρόσβασης

Τη Δευτέρα, ο Βαγγέλης Στύκας και ο Joe Durbin από το Pen Test Partners έγραψαν για την «ειρωνεία» της εύρεσης διαρροής δεδομένων στο GDPR.EU. Όπως μπορείτε να δείτε, η διαρροή (που έκτοτε έχει εξασφαλιστεί) έγινε από έναν ιστότοπο αφιερωμένο στον Γενικό Κανονισμό Προστασίας Δεδομένων της Ευρωπαϊκής Ένωσης, ο οποίος ψηφίστηκε πριν από μερικά χρόνια. Η ιστοσελίδα χρηματοδοτήθηκε εν μέρει από την ίδια την ΕΕ και υποτίθεται ότι παρέχει στους οργανισμούς πληροφορίες σχετικά με το τι πρέπει να κάνουν για να συμμορφωθούν με το GDPR.

Μπορείτε να δείτε γιατί κάποιος μπορεί να χαρακτηρίσει τη διαρροή ως "ειρωνικό", αλλά αν δείτε την ιστορία από διαφορετική οπτική γωνία, θα μπορούσατε να υποστηρίξετε ότι δεν υπάρχει απολύτως ειρωνεία σε έναν ιστότοπο που σχετίζεται με το GDPR. Οποιοσδήποτε ιστότοπος, ανεξάρτητα από τον σκοπό του, μπορεί θεωρητικά να γίνει ευάλωτος σε κυβερνοεπιθέσεις. Αυτό που είναι ειρωνικό σε αυτήν τη συγκεκριμένη περίπτωση, ωστόσο, είναι πώς το GDPR.EU διέρρευσε τα δεδομένα και ποιος ήταν υπεύθυνος για την ασφάλειά του.

Ένας εκτεθειμένος φάκελος .git θέτει το GDPR.EU σε κίνδυνο

Οι προγραμματιστές του GDPR.EU χρησιμοποίησαν ένα εργαλείο ανάπτυξης Git για να παρακολουθούν τις εκδόσεις του κώδικα τους και τις αλλαγές που κάνουν σε αυτό. Όταν αυτά τα εργαλεία χρησιμοποιούνται για τη δημιουργία ιστότοπων, τοποθετούν πολλές ευαίσθητες πληροφορίες (συμπεριλαμβανομένου ολόκληρου του πηγαίου κώδικα) σε φάκελο .git, ο οποίος, από προεπιλογή, τοποθετείται στον ριζικό κατάλογο. Συχνά, οι προγραμματιστές που έχουν αναλάβει την εκκίνηση ενός ιστότοπου απλώς αντιγράφουν / επικολλούν τον ριζικό κατάλογο στον διακομιστή παραγωγής και οι φάκελοι .git καταλήγουν επίσης στο διαδίκτυο. Ήδη, διαθέτετε ευαίσθητες πληροφορίες στο διακομιστή και εάν είναι ενεργοποιημένη η λίστα καταλόγων (λάθος διαμόρφωσης που δεν είναι τόσο ασυνήθιστο όσο θα έπρεπε), η περιήγησή σας από οπουδήποτε στον κόσμο είναι ασήμαντη.

Στην περίπτωση του GDPR.EU, όταν οι ειδικοί του Pen Test Partners ρίχνουν μια ματιά στον φάκελο .git, βρήκαν αρκετά αρχεία που δημιουργήθηκαν από το WordPress, το σύστημα διαχείρισης περιεχομένου στο οποίο έχει δημιουργηθεί ο ιστότοπος. Ένα από αυτά, το wp-config.php, περιείχε τον κωδικό πρόσβασης για τη βάση δεδομένων MySQL του GDPR.EU. Όπως επεσήμαναν οι ερευνητές, αυτό είναι ένα εσωτερικό σύστημα, οπότε η χρήση αυτού του κωδικού πρόσβασης για καταστροφή ή κλοπή της βάσης δεδομένων δεν θα ήταν εύκολη. Ωστόσο, η επαναχρησιμοποίηση κωδικού πρόσβασης είναι τόσο συχνή στις μέρες μας που δεν πρέπει να αποκλείσουμε τις πιθανότητες ίδιων διαπιστευτηρίων να ξεκλειδώσουν άλλους πόρους που σχετίζονται με το GDPR.EU. Επιπλέον, ο φάκελος .git περιείχε επίσης Authentication Unique Keys and Salts, τα οποία, σύμφωνα με το Pen Test Partners, θα μπορούσαν να επιτρέψουν στους εισβολείς να απειλήσουν ή να θέσουν σε κίνδυνο τον ιστότοπο.

Οι δημόσιοι φάκελοι .git ήταν πρόβλημα εδώ και αρκετό καιρό

Οι φάκελοι .git δεν είναι τίποτα νέο και ούτε τα σφάλματα διαμόρφωσης που οδηγούν στην έκθεσή τους. Εδώ και χρόνια, οι ερευνητές ασφαλείας μιλούν για τη σημασία της ασφάλειας των δεδομένων σε φακέλους .git, και έχουν διεξαχθεί αρκετές έρευνες, οι οποίες δείχνουν ότι οι προγραμματιστές και οι διαχειριστές συστημάτων δεν ακολουθούν τις συμβουλές. Το 2018, για παράδειγμα, ο Τσέχος εμπειρογνώμονας ασφαλείας Vladimir Smitka σάρωσε περίπου 230 εκατομμύρια τομείς και διαπίστωσε ότι 390 χιλιάδες από αυτούς είχαν εκτεθεί τους φακέλους .git. Η σάρωση του κόστισε 250 $, κάτι το οποίο, λαμβάνοντας υπόψη το πόσο δαπανηρό θα μπορούσε να είναι μια παραβίαση, δεν είναι τίποτα. Αντίθετα, η Pen Test Partners δεν ξόδεψε ούτε μια δεκάρα για να ανακαλύψει ότι το GDPR.EU είχε αποκαλύψει τα δεδομένα του.

Υπάρχει μια επέκταση προγράμματος περιήγησης που μπορεί να προσδιορίσει ιστότοπους που διαρρέουν δεδομένα λόγω ενός δημόσιου φακέλου .git. Ονομάζεται DotGit και διατίθεται εντελώς δωρεάν. Ένα μέλος της ομάδας Pen Test Partners είχε εγκαταστήσει και απλά αναζητούσε περισσότερες πληροφορίες σχετικά με το GDPR. Έτσι ήταν εύκολο να βρείτε τη διαρροή δεδομένων. Ευτυχώς, η επίλυση του προβλήματος δεν αποδείχθηκε πολύ δύσκολη.

Οι προγραμματιστές του ProtonMail έκαναν το λάθος

Εντός τεσσάρων ημερών από την αρχική αποκάλυψη, ο φάκελος .git ήταν ασφαλής και οι πληροφορίες δεν ήταν πλέον προσβάσιμες στο κοινό. Αυτό που είναι ενδιαφέρον (και ελαφρώς ειρωνικό) είναι ότι η εταιρεία που λειτουργεί και είναι υπεύθυνη για την ασφάλεια του GDPR.EU ονομάζεται Proton Technologies AG, ο προγραμματιστής του ProtomMail. Με άλλα λόγια, οι άνθρωποι που υπόσχονται στους χρήστες μια εντελώς ασφαλή κρυπτογραφημένη υπηρεσία email από άκρο σε άκρο έκαναν ένα αρκετά βασικό σφάλμα διαμόρφωσης που θα μπορούσε να θέσει σε κίνδυνο ένα ολόκληρο έργο. Ας ελπίσουμε ότι θα δούμε λιγότερα τέτοια περιστατικά στο μέλλον.