GDPR.EU était censé donner des conseils sur la confidentialité virtuelle, mais il a plutôt exposé les mots de passe
Lundi, Vangelis Stykas et Joe Durbin de Pen Test Partners ont écrit sur `` l'ironie '' de trouver une fuite de données dans GDPR.EU. Comme vous pouvez le voir, la fuite (qui a depuis été sécurisée) a été réalisée par un site Web dédié au règlement général de l'Union européenne sur la protection des données qui a été adopté il y a quelques années. La page Web a été partiellement financée par l'UE elle-même, et elle est censée fournir aux organisations des informations sur ce qu'elles doivent faire pour se conformer au RGPD.
Vous pouvez voir pourquoi quelqu'un pourrait classer la fuite comme "ironique", mais si vous regardez l'histoire sous un angle différent, vous pourriez affirmer qu'il n'y a absolument aucune ironie dans un site Web lié au GDPR qui fuit des données. Tout site Web, quel que soit son objectif, peut théoriquement devenir vulnérable aux cyberattaques. Ce qui est ironique dans ce cas particulier, cependant, c'est la façon dont GDPR.EU a divulgué les données et qui était responsable de leur sécurité.
Table of Contents
Un dossier .git exposé met le GDPR.EU en danger
Les développeurs de GDPR.EU ont utilisé un outil de développement Git pour suivre les versions de leur code et les modifications qu'ils y apportent. Lorsque ces outils sont utilisés pour créer des sites Web, ils mettent beaucoup d'informations sensibles (y compris le code source entier) dans un dossier .git, qui, par défaut, est placé dans le répertoire racine. Souvent, les développeurs chargés de lancer un site Web copient / collent simplement le répertoire racine sur le serveur de production, et les dossiers .git se retrouvent également en ligne. Déjà, vous disposez d'informations sensibles sur le serveur et si la liste des répertoires est activée (une erreur de configuration qui n'est pas aussi rare qu'elle devrait l'être), il est trivial de les parcourir depuis n'importe où dans le monde.
Dans le cas de GDPR.EU, lorsque les experts de Pen Test Partners ont jeté un coup d'œil à l'intérieur du dossier .git, ils ont trouvé pas mal de fichiers créés par WordPress, le système de gestion de contenu sur lequel le site Web est construit. L'un d'eux, wp-config.php, contenait le mot de passe de la base de données MySQL de GDPR.EU. Comme les chercheurs l'ont souligné, il s'agit d'un système interne, donc l'utilisation de ce mot de passe pour corrompre ou voler la base de données ne serait pas facile. Néanmoins, la réutilisation des mots de passe est si courante de nos jours que nous ne devons pas exclure les chances que les mêmes informations d'identification déverrouillent d'autres ressources liées au GDPR.EU. De plus, le dossier .git contenait également des clés et des sels d'authentification uniques qui, selon Pen Test Partners, pourraient permettre aux attaquants de défigurer ou de compromettre le site Web.
Les dossiers publics .git posent problème depuis un certain temps maintenant
Les dossiers .git n'ont rien de nouveau, pas plus que les erreurs de configuration qui conduisent à leur exposition. Pendant des années, les chercheurs en sécurité ont parlé de l'importance de sécuriser les données dans les dossiers .git, et de nombreuses enquêtes ont été menées, qui montrent que les développeurs et les administrateurs système ne tiennent pas compte des conseils. En 2018, par exemple, l'expert tchèque en sécurité Vladimir Smitka a scanné environ 230 millions de domaines et a découvert que 390 000 d'entre eux avaient leurs dossiers .git exposés. L'analyse lui a coûté 250 $, ce qui, compte tenu du coût d'une violation, n'est rien. En revanche, Pen Test Partners n'a pas dépensé même un sou pour découvrir que GDPR.EU avait exposé ses données.
Il existe une extension de navigateur qui peut identifier les sites Web qui fuient des données en raison d'un dossier public .git. Il s'appelle DotGit, et il est disponible gratuitement. Un membre de l'équipe Pen Test Partners l'a fait installer et cherche simplement plus d'informations sur le RGPD. Voilà comment il était facile de trouver la fuite de données. Heureusement, résoudre le problème ne s'est pas avéré trop difficile non plus.
Les développeurs de ProtonMail ont fait la bévue
Dans les quatre jours suivant la divulgation initiale, le dossier .git a été sécurisé et les informations n'étaient plus accessibles au public. Ce qui est intéressant (et un peu ironique), c'est que la société qui opère et est responsable de la sécurité du GDPR.EU s'appelle Proton Technologies AG, le développeur de ProtomMail. En d'autres termes, les personnes qui promettent aux utilisateurs un service de messagerie crypté de bout en bout complètement sécurisé ont commis une erreur de configuration assez basique qui aurait pu mettre en danger un projet entier. Espérons que nous verrons moins de tels incidents à l'avenir.