GDPR.EU doveva dare consigli sulla privacy virtuale, ma ha esposto le password
Lunedì Vangelis Stykas e Joe Durbin di Pen Test Partners hanno scritto "l'ironia" di trovare una perdita di dati in GDPR.EU. Come puoi vedere, la perdita (che è stata successivamente protetta) è stata effettuata da un sito Web dedicato al regolamento generale sulla protezione dei dati dell'Unione europea che è stato approvato un paio di anni fa. La pagina web è stata parzialmente finanziata dalla stessa UE e dovrebbe fornire alle organizzazioni informazioni su cosa devono fare per conformarsi al GDPR.
Puoi capire perché qualcuno potrebbe classificare la fuga come "ironica", ma se visualizzi la storia da una prospettiva diversa, potresti sostenere che non c'è assolutamente ironia in un sito Web correlato al GDPR che perde dati. Qualsiasi sito Web, indipendentemente dal suo scopo, può teoricamente diventare vulnerabile agli attacchi informatici. Ciò che è ironico in questo caso particolare, tuttavia, è il modo in cui GDPR.EU ha trapelato i dati e chi era responsabile della sua sicurezza.
Table of Contents
Una cartella .git esposta mette a rischio GDPR.EU
Gli sviluppatori di GDPR.EU hanno utilizzato uno strumento di sviluppo Git per tenere traccia delle versioni del loro codice e delle modifiche apportate ad esso. Quando questi strumenti vengono utilizzati per creare siti Web, inseriscono molte informazioni riservate (incluso l'intero codice sorgente) in una cartella .git, che, per impostazione predefinita, viene inserita nella directory principale. Spesso, gli sviluppatori incaricati di avviare un sito Web semplicemente copiano / incollano la directory principale sul server di produzione e anche le cartelle .git finiscono online. Hai già informazioni sensibili disponibili sul server e se l'elenco delle directory è abilitato (un errore di configurazione che non è così insolito come dovrebbe essere), esplorarle da qualsiasi parte del mondo è banale.
Nel caso di GDPR.EU, quando gli esperti di Pen Test Partners hanno sbirciato nella cartella .git, hanno trovato parecchi file creati da WordPress, il sistema di gestione dei contenuti su cui è costruito il sito web. Uno di questi, wp-config.php, conteneva la password per il database MySQL di GDPR.EU. Come hanno sottolineato i ricercatori, questo è un sistema interno, quindi usare questa password per corrompere o rubare il database non sarebbe facile. Tuttavia, il riutilizzo delle password è così comune al giorno d'oggi che non dovremmo escludere le possibilità delle stesse credenziali di sbloccare altre risorse relative al GDPR.EU. Inoltre, la cartella .git conteneva anche chiavi e sali unici di autenticazione, che, secondo Pen Test Partners, potevano consentire agli aggressori di sfigurare o compromettere il sito Web.
Le cartelle pubbliche .git sono state un problema per un po 'di tempo
Le cartelle .git non sono una novità, né gli errori di configurazione che portano alla loro esposizione. Per anni, i ricercatori della sicurezza hanno parlato dell'importanza di proteggere i dati nelle cartelle .git e sono stati condotti parecchi sondaggi, che mostrano che gli sviluppatori e gli amministratori di sistema non riescono a seguire il consiglio. Nel 2018, ad esempio, l'esperto di sicurezza ceco Vladimir Smitka ha scannerizzato circa 230 milioni di domini e ha scoperto che 390 mila di loro avevano le loro cartelle .git esposte. La scansione gli è costata $ 250, che, considerando quanto costosa potrebbe essere una singola violazione, non è nulla. Al contrario, Pen Test Partners non ha speso nemmeno un centesimo per scoprire che GDPR.EU aveva esposto i suoi dati.
Esiste un'estensione del browser in grado di identificare i siti Web che perdono dati a causa di una cartella pubblica .git. Si chiama DotGit ed è disponibile completamente gratuito. Un membro del team di Pen Test Partners lo aveva installato e stava semplicemente cercando ulteriori informazioni sul GDPR. È così facile trovare la perdita di dati. Fortunatamente, anche la risoluzione del problema non si è rivelata troppo difficile.
Gli sviluppatori di ProtonMail hanno commesso l'errore
Entro quattro giorni dalla divulgazione iniziale, la cartella .git era protetta e le informazioni non erano più accessibili al pubblico. Ciò che è interessante (e leggermente ironico) è che la società che opera ed è responsabile della sicurezza di GDPR.EU si chiama Proton Technologies AG, lo sviluppatore di ProtomMail. In altre parole, le persone che promettono agli utenti un servizio di posta elettronica crittografato end-to-end completamente sicuro hanno commesso un errore di configurazione piuttosto semplice che avrebbe potuto mettere a rischio un intero progetto. Speriamo di vedere meno incidenti simili in futuro.
