GDPR.EU var ment å gi råd om virtuelt personvern, men det utsatte passord i stedet
Mandag skrev Vangelis Stykas og Joe Durbin fra Pen Test Partners om 'ironien' i å finne en datalekkasje i GDPR.EU. Som du kan se, ble lekkasjen (som siden er sikret) gjort av et nettsted dedikert til EUs generelle databeskyttelsesforordning som ble vedtatt for et par år siden. Nettsiden ble delvis finansiert av EU selv, og den skal gi organisasjoner informasjon om hva de trenger å gjøre for å overholde GDPR.
Du kan se hvorfor noen kan klassifisere lekkasjen som "ironisk", men hvis du ser historien fra en annen vinkel, kan du hevde at det absolutt ikke er noen ironi i et GDPR-relatert nettsted som lekker data. Ethvert nettsted, uansett formål, kan teoretisk sett bli sårbart for nettangrep. Det som imidlertid er ironisk i akkurat dette tilfellet, er hvordan GDPR.EU lekket dataene og hvem som var ansvarlig for sikkerheten.
Table of Contents
En eksponert .git-mappe utsatte GDPR.EU
GDPR.EUs utviklere brukte et Git-verktøy for å spore versjonene av koden og endringene de gjorde. Når disse verktøyene brukes til å lage nettsteder, legger de mye sensitiv informasjon (inkludert hele kildekoden) i en .git-mappe, som som standard er plassert i rotkatalogen. Ofte har utviklere som har til oppgave å starte et nettsted, bare kopiert / limt inn rotkatalogen til produksjonsserveren, og .git-mapper havner også på nettet. Allerede har du sensitiv informasjon tilgjengelig på serveren, og hvis katalogoppføringen er aktivert (en konfigurasjonsfeil som ikke er så uvanlig som den skal være), er det trivielt å bla gjennom den hvor som helst i verden.
Når det gjelder GDPR.EU, da Pen Test Partners 'eksperter tok en titt i .git-mappen, fant de ganske mange filer opprettet av WordPress, innholdsstyringssystemet nettstedet er bygget på. En av dem, wp-config.php, inneholdt passordet for GDPR.EUs MySQL-database. Som forskerne påpekte, er dette et internt system, så det ville ikke være lett å bruke dette passordet for å ødelegge eller stjele databasen. Likevel er gjenbruk av passord så vanlig nå for tiden at vi ikke skal utelukke sjansene for at de samme legitimasjonene kan låse opp andre GDPR.EU-relaterte ressurser. Dessuten inneholdt .git-mappen også Autentisering unike nøkler og salter, som ifølge Pen Test Partners kan tillate angripere å forskyve eller kompromittere nettstedet.
Offentlige .git-mapper har vært et problem i en stund nå
.git-mapper er ikke noe nytt, og heller ikke konfigurasjonsfeil som fører til eksponering av dem. I årevis har sikkerhetsforskere snakket om viktigheten av å sikre dataene i .git-mapper, og det har blitt utført ganske mange undersøkelser, som viser at utviklere og systemadministratorer ikke overholder rådene. I 2018 skannet for eksempel den tsjekkiske sikkerhetseksperten Vladimir Smitka rundt 230 millioner domener og fant ut at 390 tusen av dem hadde eksponert for .git-mappene. Skanningen kostet ham $ 250, - med tanke på hvor kostbart et enkelt brudd kan være, ikke er noe. Derimot brukte Pen Test Partners ikke en eneste krone på å finne ut at GDPR.EU hadde utsatt sine data.
Det er en nettleserutvidelse som kan identifisere nettsteder som lekker data på grunn av en offentlig .git-mappe. Det heter DotGit, og det er tilgjengelig helt gratis. Et medlem av teamet for Pen Test Partners hadde det installert og var ganske enkelt på jakt etter mer informasjon om GDPR. Dette var hvor enkelt det var å finne datalekkasjen. Heldigvis var det heller ikke vanskelig å løse problemet.
ProtonMails utviklere gjorde feilen
I løpet av fire dager etter den første avsløringen ble .git-mappen sikret, og informasjonen var ikke lenger offentlig tilgjengelig. Det som er interessant (og litt ironisk) er at selskapet som driver og er ansvarlig for sikkerheten til GDPR.EU heter Proton Technologies AG, utvikleren av ProtomMail. Med andre ord, menneskene som lover brukere en helt sikker kryptert e-posttjeneste fra ende til ende, gjorde en ganske grunnleggende konfigurasjonsfeil som kunne ha satt et helt prosjekt i fare. La oss håpe vi ser færre slike hendelser i fremtiden.
