„GDPR.EU“ norėjo patarti dėl virtualios privatumo, tačiau vietoj to turėjo slaptažodžius
Pirmadienį Vangelis Stykas ir Joe Durbinas iš „ Pen Test Partners“ rašė apie „ironiją“ radus duomenų nutekėjimą GDPR.EU. Kaip matote, nuotėkis (kuris nuo to laiko buvo užtikrintas) buvo padarytas svetainėje, skirtoje Europos Sąjungos bendrajam duomenų apsaugos reglamentui, priimtam prieš porą metų. Tinklalapį iš dalies finansavo pati ES, ir jis turėjo suteikti organizacijoms informacijos apie tai, ką jos turi padaryti, kad atitiktų GDPR.
Galite suprasti, kodėl kažkas gali nutekėjimą klasifikuoti kaip „ironišką“, tačiau jei pažiūrėtumėte į istoriją kitu kampu, galėtumėte teigti, kad su GDPR susijusioje svetainėje nesandarių duomenų nėra jokios ironijos. Bet kuri svetainė, nepriklausomai nuo jos paskirties, teoriškai gali tapti pažeidžiama kibernetinių išpuolių. Tačiau šiuo atveju yra ironiška, kaip „GDPR.EU“ nutekino duomenis ir kas buvo atsakingas už jų saugumą.
Table of Contents
Atskleistas .git aplankas rizikavo GDPR.EU
„GDPR.EU“ kūrėjai naudojo tobulinimo įrankį „Git“, norėdami sekti savo kodo versijas ir jų pakeitimus. Kai šie įrankiai yra naudojami kuriant svetaines, jie įdeda „.git“ aplanke daug neskelbtinos informacijos (įskaitant visą šaltinio kodą), kuri pagal nutylėjimą yra dedama į šakninį katalogą. Dažnai kūrėjai, kuriems pavesta atidaryti svetainę, tiesiog nukopijuoja / įklijuoja šakninį katalogą į gamybos serverį, o .git aplankai taip pat patenka į internetą. Jau turite serveryje slaptą informaciją, o jei katalogų sąrašas yra įjungtas (konfigūracijos klaida, kuri nėra tokia neįprasta, kaip turėtų būti), naršyti joje iš bet kurios pasaulio vietos yra nereikšminga.
„GDPR.EU“ atveju, kai „Pen Test Partners“ ekspertai žvilgtelėjo į .git aplanką, jie rado nemažai failų, kuriuos sukūrė „WordPress“ - turinio valdymo sistema, kurioje sukurta svetainė. Viename iš jų, wp-config.php, buvo GDPR.EU MySQL duomenų bazės slaptažodis. Kaip pabrėžė tyrėjai, tai yra vidinė sistema, todėl panaudoti šį slaptažodį sugadinti ar pavogti duomenų bazę nebus lengva. Nepaisant to, slaptažodžio pakartotinis naudojimas šiais laikais yra toks įprastas, kad neturėtume atmesti galimybės, kad tie patys prisijungimo duomenys atrakins ir kitus su GDPR.EU susijusius išteklius. Be to, „.git“ aplanke taip pat buvo unikalių autentifikavimo raktų ir druskų autentifikavimo priemonės, kurios, „Pen Test Partners“ teigimu, galėjo leisti užpuolikams pažeisti ar sugadinti svetainę.
Viešieji .git aplankai jau kurį laiką buvo problema
.git aplankai nėra nieko naujo, be to, nėra konfigūracijos klaidų, dėl kurių jie bus rodomi. Daugybę metų saugumo tyrinėtojai kalbėjo apie duomenų saugojimo „.git“ aplankuose svarbą ir buvo atlikta nemažai tyrimų, kurie rodo, kad kūrėjai ir sistemų administratoriai nepaiso patarimų. Pavyzdžiui, 2018 m. Čekijos saugumo ekspertas Vladimiras Smitka nuskenavo maždaug 230 milijonų domenų ir nustatė, kad 390 tūkst. Iš jų buvo atidaryti .git aplankai. Skenavimas jam kainavo 250 USD, o tai, atsižvelgiant į tai, kiek brangiai kainuotų vienas pažeidimas, yra niekas. Priešingai, „Pen Test Partners“ neišleido nė cento sužinoję, kad GDPR.EU paviešino savo duomenis.
Yra naršyklės plėtinys, galintis identifikuoti svetaines, kurios nutekina duomenis dėl viešo .git aplanko. Jis vadinamas DotGit ir yra visiškai nemokamas. „Pen Test Partners“ komandos narys turėjo ją įdiegti ir tiesiog ieškojo daugiau informacijos apie GDPR. Taip lengva buvo surasti duomenų nutekėjimą. Laimei, taip pat nebuvo sunku išspręsti problemą.
„ProtonMail“ kūrėjai suklydo
Per keturias dienas po pirminio atskleidimo .git aplankas buvo apsaugotas, o informacija nebebuvo viešai prieinama. Įdomu (ir šiek tiek ironiška), kad įmonė, kuri veikia ir yra atsakinga už GDPR.EU saugumą, yra vadinama „Proton Technologies AG“, „ProtomMail“ kūrėja. Kitaip tariant, žmonės, kurie vartotojams žada visiškai saugią užšifruotą el. Pašto paslaugą, padarė gana pagrindinę konfigūracijos klaidą, kuri galėjo pakenkti visam projektui. Tikėkimės, kad ateityje tokių incidentų bus mažiau.
