GDPR.EU estaba destinado a dar consejos sobre privacidad virtual, pero en su lugar expuso contraseñas
El lunes, Vangelis Stykas y Joe Durbin de Pen Test Partners escribieron sobre 'la ironía' de encontrar una fuga de datos en GDPR.EU. Como puede ver, la fuga (que desde entonces se ha asegurado) fue realizada por un sitio web dedicado al Reglamento General de Protección de Datos de la Unión Europea que se aprobó hace un par de años. La página web fue parcialmente financiada por la propia UE, y se supone que debe brindar a las organizaciones información sobre lo que deben hacer para cumplir con el RGPD.
Puede ver por qué alguien podría clasificar la filtración como "irónica", pero si ve la historia desde un ángulo diferente, podría argumentar que no hay absolutamente ninguna ironía en un sitio web relacionado con el RGPD que filtra datos. Cualquier sitio web, independientemente de su propósito, en teoría puede volverse vulnerable a los ataques cibernéticos. Sin embargo, lo que es irónico en este caso particular es cómo GDPR.EU filtró los datos y quién fue responsable de su seguridad.
Table of Contents
Una carpeta .git expuesta pone en riesgo GDPR.EU
Los desarrolladores de GDPR.EU utilizaron una herramienta de desarrollo Git para rastrear las versiones de su código y los cambios que le hacen. Cuando estas herramientas se utilizan para crear sitios web, colocan mucha información confidencial (incluido el código fuente completo) en una carpeta .git, que, de forma predeterminada, se coloca en el directorio raíz. A menudo, los desarrolladores encargados de lanzar un sitio web simplemente copian / pegan el directorio raíz en el servidor de producción, y las carpetas .git también terminan en línea. Ya tiene información confidencial disponible en el servidor, y si la lista de directorios está habilitada (un error de configuración que no es tan infrecuente como debería ser), navegar por él desde cualquier parte del mundo es trivial.
En el caso de GDPR.EU, cuando los expertos de Pen Test Partners echaron un vistazo dentro de la carpeta .git, encontraron bastantes archivos creados por WordPress, el sistema de gestión de contenido en el que se basa el sitio web. Uno de ellos, wp-config.php, contenía la contraseña para la base de datos MySQL de GDPR.EU. Como señalaron los investigadores, este es un sistema interno, por lo que no sería fácil usar esta contraseña para dañar o robar la base de datos. Sin embargo, la reutilización de contraseñas es tan común hoy en día que no deberíamos descartar las posibilidades de que las mismas credenciales desbloqueen otros recursos relacionados con GDPR.EU. Además, la carpeta .git también contenía claves y sales únicas de autenticación que, según Pen Test Partners, podrían permitir a los atacantes dañar o comprometer el sitio web.
Las carpetas públicas .git han sido un problema por un tiempo
Las carpetas .git no son nada nuevo, y tampoco lo son los errores de configuración que conducen a su exposición. Durante años, los investigadores de seguridad han estado hablando sobre la importancia de proteger los datos en carpetas .git, y se han realizado bastantes encuestas, que muestran que los desarrolladores y administradores de sistemas no están atentos a los consejos. En 2018, por ejemplo, el experto en seguridad checo Vladimir Smitka escaneó alrededor de 230 millones de dominios y descubrió que 390 mil de ellos tenían sus carpetas .git expuestas. El escaneo le costó $ 250, que, considerando lo costoso que podría ser una sola violación, no es nada. Por el contrario, Pen Test Partners no gastó ni un centavo en descubrir que GDPR.EU había expuesto sus datos.
Hay una extensión de navegador que puede identificar sitios web que filtran datos debido a una carpeta pública .git. Se llama DotGit, y está disponible de forma totalmente gratuita. Un miembro del equipo de Pen Test Partners lo instaló y simplemente estaba buscando más información sobre GDPR. Así de fácil fue encontrar la fuga de datos. Afortunadamente, solucionar el problema tampoco resultó demasiado difícil.
Los desarrolladores de ProtonMail cometieron el error
Dentro de los cuatro días posteriores a la divulgación inicial, la carpeta .git estaba asegurada y la información ya no era de acceso público. Lo interesante (y un poco irónico) es que la compañía que opera y es responsable de la seguridad de GDPR.EU se llama Proton Technologies AG, el desarrollador de ProtomMail. En otras palabras, las personas que prometen a los usuarios un servicio de correo electrónico cifrado de extremo a extremo completamente seguro cometieron un error de configuración bastante básico que podría haber puesto en riesgo un proyecto completo. Esperemos ver menos incidentes de este tipo en el futuro.
