GDPR.EU était censé donner des conseils sur la confidentialité virtuelle, mais il a plutôt exposé les mots de passe

GDPR.EU Data Leak

Lundi, Vangelis Stykas et Joe Durbin de Pen Test Partners ont écrit sur `` l'ironie '' de trouver une fuite de données dans GDPR.EU. Comme vous pouvez le voir, la fuite (qui a depuis été sécurisée) a été réalisée par un site Web dédié au règlement général de l'Union européenne sur la protection des données qui a été adopté il y a quelques années. La page Web a été partiellement financée par l'UE elle-même, et elle est censée fournir aux organisations des informations sur ce qu'elles doivent faire pour se conformer au RGPD.

Vous pouvez voir pourquoi quelqu'un pourrait classer la fuite comme "ironique", mais si vous regardez l'histoire sous un angle différent, vous pourriez affirmer qu'il n'y a absolument aucune ironie dans un site Web lié au GDPR qui fuit des données. Tout site Web, quel que soit son objectif, peut théoriquement devenir vulnérable aux cyberattaques. Ce qui est ironique dans ce cas particulier, cependant, c'est la façon dont GDPR.EU a divulgué les données et qui était responsable de leur sécurité.

Un dossier .git exposé met le GDPR.EU en danger

Les développeurs de GDPR.EU ont utilisé un outil de développement Git pour suivre les versions de leur code et les modifications qu'ils y apportent. Lorsque ces outils sont utilisés pour créer des sites Web, ils mettent beaucoup d'informations sensibles (y compris le code source entier) dans un dossier .git, qui, par défaut, est placé dans le répertoire racine. Souvent, les développeurs chargés de lancer un site Web copient / collent simplement le répertoire racine sur le serveur de production, et les dossiers .git se retrouvent également en ligne. Déjà, vous disposez d'informations sensibles sur le serveur et si la liste des répertoires est activée (une erreur de configuration qui n'est pas aussi rare qu'elle devrait l'être), il est trivial de les parcourir depuis n'importe où dans le monde.

Dans le cas de GDPR.EU, lorsque les experts de Pen Test Partners ont jeté un coup d'œil à l'intérieur du dossier .git, ils ont trouvé pas mal de fichiers créés par WordPress, le système de gestion de contenu sur lequel le site Web est construit. L'un d'eux, wp-config.php, contenait le mot de passe de la base de données MySQL de GDPR.EU. Comme les chercheurs l'ont souligné, il s'agit d'un système interne, donc l'utilisation de ce mot de passe pour corrompre ou voler la base de données ne serait pas facile. Néanmoins, la réutilisation des mots de passe est si courante de nos jours que nous ne devons pas exclure les chances que les mêmes informations d'identification déverrouillent d'autres ressources liées au GDPR.EU. De plus, le dossier .git contenait également des clés et des sels d'authentification uniques qui, selon Pen Test Partners, pourraient permettre aux attaquants de défigurer ou de compromettre le site Web.

Les dossiers publics .git posent problème depuis un certain temps maintenant

Les dossiers .git n'ont rien de nouveau, pas plus que les erreurs de configuration qui conduisent à leur exposition. Pendant des années, les chercheurs en sécurité ont parlé de l'importance de sécuriser les données dans les dossiers .git, et de nombreuses enquêtes ont été menées, qui montrent que les développeurs et les administrateurs système ne tiennent pas compte des conseils. En 2018, par exemple, l'expert tchèque en sécurité Vladimir Smitka a scanné environ 230 millions de domaines et a découvert que 390 000 d'entre eux avaient leurs dossiers .git exposés. L'analyse lui a coûté 250 $, ce qui, compte tenu du coût d'une violation, n'est rien. En revanche, Pen Test Partners n'a pas dépensé même un sou pour découvrir que GDPR.EU avait exposé ses données.

Il existe une extension de navigateur qui peut identifier les sites Web qui fuient des données en raison d'un dossier public .git. Il s'appelle DotGit, et il est disponible gratuitement. Un membre de l'équipe Pen Test Partners l'a fait installer et cherche simplement plus d'informations sur le RGPD. Voilà comment il était facile de trouver la fuite de données. Heureusement, résoudre le problème ne s'est pas avéré trop difficile non plus.

Les développeurs de ProtonMail ont fait la bévue

Dans les quatre jours suivant la divulgation initiale, le dossier .git a été sécurisé et les informations n'étaient plus accessibles au public. Ce qui est intéressant (et un peu ironique), c'est que la société qui opère et est responsable de la sécurité du GDPR.EU s'appelle Proton Technologies AG, le développeur de ProtomMail. En d'autres termes, les personnes qui promettent aux utilisateurs un service de messagerie crypté de bout en bout complètement sécurisé ont commis une erreur de configuration assez basique qui aurait pu mettre en danger un projet entier. Espérons que nous verrons moins de tels incidents à l'avenir.

Par Duran
April 28, 2020
News
Français
April 28, 2020
News

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.