GDPR.EUは仮想プライバシーに関するアドバイスを提供することを意味していましたが、代わりにパスワードを公開していました

GDPR.EU Data Leak

月曜日に、 Pen Test Partnersの Vangelis StykasとJoe Durbinが、GDPR.EUでデータリークを発見することの「皮肉」について書いています。ご覧のとおり、この漏えい(セキュリティは確保されています)は、数年前に可決された欧州連合の一般データ保護規則に特化したWebサイトによって行われました。このウェブページは、EU自体によって部分的に資金提供されており、GDPRに準拠するために必要なことに関する情報を組織に提供することになっています。

なぜ誰かがリークを「皮肉」と分類するのかがわかりますが、別の角度からストーリーを見ると、GDPR関連のWebサイトにデータをリークすることに皮肉はまったくないと主張できます。 Webサイトは、その目的に関係なく、理論的にはサイバー攻撃に対して脆弱になる可能性があります。しかし、この特定のケースで皮肉なのは、GDPR.EUがどのようにデータを漏らし、誰がそのセキュリティを担当したかです。

公開された.gitフォルダーはGDPR.EUを危険にさらします

GDPR.EUの開発者は、開発Gitツールを使用して、コードのバージョンとコードへの変更を追跡しました。これらのツールを使用してWebサイトを作成すると、多くの機密情報(ソースコード全体を含む)が、デフォルトではルートディレクトリにある.gitフォルダに配置されます。多くの場合、開発者はWebサイトの起動を担当し、ルートディレクトリを運用サーバーにコピーアンドペーストするだけで、.gitフォルダーもオンラインになります。すでにサーバーで機密情報を利用できます。ディレクトリリストが有効になっている場合(設定の誤りがそれほど一般的ではないことはありません)、世界中のどこからでも情報を閲覧することは簡単です。

GDPR.EUの場合、Pen Test Partnersのエキスパートが.gitフォルダーをのぞいてみたところ、Webサイトが構築されているコンテンツ管理システムであるWordPressによって作成されたかなりの数のファイルが見つかりました。それらの1つであるwp-config.phpには、GDPR.EUのMySQLデータベースのパスワードが含まれていました。研究者が指摘したように、これは内部システムであるため、このパスワードを使用してデータベースを破損または盗むことは簡単ではありません。それにもかかわらず、今日ではパスワードの再利用が一般的であるため、同じ資格情報が他のGDPR.EU関連のリソースをロック解除する可能性を排除するべきではありません。さらに、.gitフォルダーには認証固有のキーとソルトも含まれていたため、Pen Test Partnersによれば、攻撃者がWebサイトを改ざんまたは侵害する可能性があります。

パブリック.gitフォルダーはしばらくの間問題でした

.gitフォルダーは目新しいものではなく、公開につながる構成エラーでもありません。何年もの間、セキュリティ研究者は.gitフォルダー内のデータを保護することの重要性について話していました。かなりの数の調査が行われており、開発者とシステム管理者がアドバイスを守っていないことを示しています。たとえば、2018年に、チェコのセキュリティ専門家であるウラジミールスミトカは約2億3千万のドメインをスキャンし、そのうち39万のドメインが.gitフォルダーを公開していることを発見しました。スキャンの費用は彼に250ドルでしたが、これは1回の違反にどれだけの費用がかかるかを考えると、何もありません。対照的に、Pen Test Partnersは、GDPR.EUがデータを公開したことを知るのに1ペニーも費やしませんでした。

パブリック.gitフォルダーが原因でデータをリークするWebサイトを特定できるブラウザー拡張機能があります。それはDotGitと呼ばれ、完全に無料で入手できます。ペンテストパートナーのチームのメンバーがインストールし、GDPRに関する詳細情報を探していました。これは、データリークを見つけるのがいかに簡単であったかです。幸い、問題の修正もそれほど難しくはありませんでした。

ProtonMailの開発者は失敗をしました

最初の開示から4日以内に、.gitフォルダーは保護され、情報は公開されなくなりました。興味深い(そして少し皮肉な)のは、GDPR.EUのセキュリティを運営し責任を負う会社が、ProtomMailの開発者であるProton Technologies AGと呼ばれていることです。言い換えると、完全に安全なエンドツーエンドの暗号化メールサービスをユーザーに約束する人々は、プロジェクト全体を危険にさらす可能性のあるかなり基本的な構成エラーを犯していました。今後、このような事件が少なくなることを願っています。

Duran
April 28, 2020
News
日本語
April 28, 2020
News

人気の投稿

マイクロソフト、国家支援の攻撃者が攻撃に AI を使用していると警告

4 days年前

トロイの木馬 Al11 マルウェアの検出

11 months年前

Pinaview はフル機能のアドウェア アプリです

10 months年前

「あなたの iCloud がハッキングされています」および「あなたの iPhone がハッキングされています」ポップアップ

7 months年前

Lucky ランサムウェアとは何ですか?

7 months年前

「American Express - アカウント情報の更新」電子メール詐欺

6 months年前
日本語
読み込み中...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

ホーム

製品

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

サポート

ヘルプファイル よくある質問 Downloads Inquiries & Support

会社

私たちに関しては Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service 個人情報保護方針 クッキーポリシー Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windowsは、Microsoftの商標であり、米国およびその他の国で登録されています。
Mac、iPhone、iPad、およびApp Storeは、米国およびその他の国で登録されたAppleInc。の商標です。
iOSは、Cisco Systems、Inc。および/またはその関連会社の米国およびその他の国における登録商標です。
AndroidおよびGooglePlayは、GoogleLLCの商標です。