A GDPR.EU célja a virtuális adatvédelemmel kapcsolatos tanácsadás volt, ám ehelyett jelszavakat adott ki
Hétfőn Vangelis Stykas és Joe Durbin a Pen Test Partners-ből írtak arról az „iróniáról”, hogy az GDPR.EU-ban szivárognak az adatok. Mint láthatja, a szivárgást (amelyet azóta biztosították) egy, az Európai Unió néhány évvel ezelőtt elfogadott általános adatvédelmi rendeletének szentelt webhely készítette. A weboldalt részben maga az EU finanszírozta, és állítólag információt ad a szervezeteknek arról, hogy mit kell tenniük a GDPR betartásához.
Láthatja, hogy valaki miért osztályozhatja a szivárgást „ironikusnak”, de ha más szögből tekintjük a történetet, akkor azt állíthatjuk, hogy egy GDPR-rel kapcsolatos weboldalon szivárogtató adatokban nincs teljesen irónia. Bármely weboldal, céljától függetlenül, elméletileg veszélyeztetett lehet a kibertámadásokkal szemben. Ironikus ebben az esetben azonban az, hogy a GDPR.EU kiszivárogtatta az adatokat, és ki volt a felelős az adatok biztonságáért.
Table of Contents
Egy kitett .git mappa veszélyezteti a GDPR.EU-t
A GDPR.EU fejlesztői egy fejlesztési Git eszközt használtak, hogy nyomon kövessék kódjaik verzióit és az általuk végrehajtott változtatásokat. Amikor ezeket az eszközöket webhelyek létrehozására használják, sok érzékeny információt (beleértve a teljes forráskódot) egy .git mappába helyezik, amelyet alapértelmezés szerint a gyökérkönyvtárba helyeznek. Gyakran a weboldal elindításával megbízott fejlesztők egyszerűen lemásolják / beillesztik a gyökérkönyvtárat a termelési kiszolgálóra, és a .git mappák szintén online jelennek meg. Máris érzékeny információk állnak rendelkezésre a szerveren, és ha a könyvtárak listázása engedélyezve van (egy olyan konfigurációs hiba, amely nem olyan szokatlan, mint amilyennek lennie kellene), akkor a világ bármely pontjáról böngészni triviális.
A GDPR.EU esetében, amikor a Pen Test Partners szakértői bepillantottak a .git mappába, sok fájlt találtak a WordPress által létrehozott fájlokkal, a tartalomkezelő rendszerrel, amelyre a webhely épül. Az egyik, a wp-config.php, a GDPR.EU MySQL adatbázisának jelszavát tartalmazza. Ahogyan a kutatók rámutattak, ez egy belső rendszer, tehát ezt a jelszót az adatbázis megrontására vagy ellopására nem lenne könnyű használni. Ennek ellenére a jelszó újbóli használata manapság olyan gyakori, hogy nem szabad kizárni ugyanazon hitelesítő adatok esélyét a GDPR.EU-hoz kapcsolódó egyéb erőforrások felszabadítására. Sőt, a .git mappa tartalmazta az egyedi hitelesítési kulcsokat és sókat is, amelyek a Pen Test Partners szerint megengedhetik a támadóknak, hogy megsértsék vagy veszélyeztessék a weboldalt.
A nyilvános .git mappák egy ideje problémát jelentenek
A .git mappák semmi új, és a konfigurációs hibák sem vezetik az expozíciót. A biztonsági kutatók évek óta beszélnek az .git mappákban az adatok biztonságának fontosságáról, és számos felmérést végeztek, amelyek azt mutatják, hogy a fejlesztők és a rendszergazdák figyelmen kívül hagyják a tanácsokat. 2018-ban például a cseh biztonsági szakértő Vladimir Smitka beolvasott mintegy 230 millió domain és megállapította, hogy 390 ezer közülük azok .git mappák téve. A beolvasás 250 dollárba került, ami, figyelembe véve, hogy egy megsértés mennyire költséges lehet, semmi. Ezzel szemben a Pen Test Partners még egy fillért sem költött arra, hogy megtudja, hogy a GDPR.EU nyilvánosságra hozta adatait.
Van egy böngészőbővítmény, amely azonosítja azokat a webhelyeket, amelyek szivárognak az adatokból a nyilvános .git mappa miatt. DotGitnek hívják, és teljesen ingyenesen elérhető. A Pen Test Partners csapat tagja telepítette azt, és egyszerűen csak további információt kerest a GDPR-ről. Így volt könnyű megtalálni az adatszivárgást. Szerencsére a probléma megoldása sem bizonyult túl nehéznek.
A ProtonMail fejlesztői elrontották
A kezdeti nyilvánosságra hozataltól számított négy napon belül a .git mappát biztonságossá tették, és az információk már nem voltak nyilvánosan hozzáférhetők. Érdekes (és kissé ironikus), hogy a GDPR.EU működéséért felelős és a Protr Technologies AG-nek nevezett társaság Protom Technologies AG, a ProtomMail fejlesztője. Más szavakkal: azok az emberek, akik teljes biztonságú, végponttól végig titkosított e-mail szolgáltatást ígérnek, egy nagyon egyszerű konfigurációs hibát tettek, amely egy egész projektet veszélybe sodorta. Reméljük, hogy a jövőben kevesebb ilyen eseményt fogunk látni.