GDPR.EUは仮想プライバシーに関するアドバイスを提供することを意味していましたが、代わりにパスワードを公開していました
月曜日に、 Pen Test Partnersの Vangelis StykasとJoe Durbinが、GDPR.EUでデータリークを発見することの「皮肉」について書いています。ご覧のとおり、この漏えい(セキュリティは確保されています)は、数年前に可決された欧州連合の一般データ保護規則に特化したWebサイトによって行われました。このウェブページは、EU自体によって部分的に資金提供されており、GDPRに準拠するために必要なことに関する情報を組織に提供することになっています。
なぜ誰かがリークを「皮肉」と分類するのかがわかりますが、別の角度からストーリーを見ると、GDPR関連のWebサイトにデータをリークすることに皮肉はまったくないと主張できます。 Webサイトは、その目的に関係なく、理論的にはサイバー攻撃に対して脆弱になる可能性があります。しかし、この特定のケースで皮肉なのは、GDPR.EUがどのようにデータを漏らし、誰がそのセキュリティを担当したかです。
Table of Contents
公開された.gitフォルダーはGDPR.EUを危険にさらします
GDPR.EUの開発者は、開発Gitツールを使用して、コードのバージョンとコードへの変更を追跡しました。これらのツールを使用してWebサイトを作成すると、多くの機密情報(ソースコード全体を含む)が、デフォルトではルートディレクトリにある.gitフォルダに配置されます。多くの場合、開発者はWebサイトの起動を担当し、ルートディレクトリを運用サーバーにコピーアンドペーストするだけで、.gitフォルダーもオンラインになります。すでにサーバーで機密情報を利用できます。ディレクトリリストが有効になっている場合(設定の誤りがそれほど一般的ではないことはありません)、世界中のどこからでも情報を閲覧することは簡単です。
GDPR.EUの場合、Pen Test Partnersのエキスパートが.gitフォルダーをのぞいてみたところ、Webサイトが構築されているコンテンツ管理システムであるWordPressによって作成されたかなりの数のファイルが見つかりました。それらの1つであるwp-config.phpには、GDPR.EUのMySQLデータベースのパスワードが含まれていました。研究者が指摘したように、これは内部システムであるため、このパスワードを使用してデータベースを破損または盗むことは簡単ではありません。それにもかかわらず、今日ではパスワードの再利用が一般的であるため、同じ資格情報が他のGDPR.EU関連のリソースをロック解除する可能性を排除するべきではありません。さらに、.gitフォルダーには認証固有のキーとソルトも含まれていたため、Pen Test Partnersによれば、攻撃者がWebサイトを改ざんまたは侵害する可能性があります。
パブリック.gitフォルダーはしばらくの間問題でした
.gitフォルダーは目新しいものではなく、公開につながる構成エラーでもありません。何年もの間、セキュリティ研究者は.gitフォルダー内のデータを保護することの重要性について話していました。かなりの数の調査が行われており、開発者とシステム管理者がアドバイスを守っていないことを示しています。たとえば、2018年に、チェコのセキュリティ専門家であるウラジミールスミトカは約2億3千万のドメインをスキャンし、そのうち39万のドメインが.gitフォルダーを公開していることを発見しました。スキャンの費用は彼に250ドルでしたが、これは1回の違反にどれだけの費用がかかるかを考えると、何もありません。対照的に、Pen Test Partnersは、GDPR.EUがデータを公開したことを知るのに1ペニーも費やしませんでした。
パブリック.gitフォルダーが原因でデータをリークするWebサイトを特定できるブラウザー拡張機能があります。それはDotGitと呼ばれ、完全に無料で入手できます。ペンテストパートナーのチームのメンバーがインストールし、GDPRに関する詳細情報を探していました。これは、データリークを見つけるのがいかに簡単であったかです。幸い、問題の修正もそれほど難しくはありませんでした。
ProtonMailの開発者は失敗をしました
最初の開示から4日以内に、.gitフォルダーは保護され、情報は公開されなくなりました。興味深い(そして少し皮肉な)のは、GDPR.EUのセキュリティを運営し責任を負う会社が、ProtomMailの開発者であるProton Technologies AGと呼ばれていることです。言い換えると、完全に安全なエンドツーエンドの暗号化メールサービスをユーザーに約束する人々は、プロジェクト全体を危険にさらす可能性のあるかなり基本的な構成エラーを犯していました。今後、このような事件が少なくなることを願っています。