GDPR.EU was bedoeld om advies te geven over virtuele privacy, maar in plaats daarvan werden wachtwoorden getoond
Maandag schreven Vangelis Stykas en Joe Durbin van Pen Test Partners over 'de ironie' van het vinden van een datalek in GDPR.EU. Zoals u kunt zien, werd het lek (dat inmiddels is beveiligd) gedaan door een website die is gewijd aan de algemene verordening gegevensbescherming van de Europese Unie die een paar jaar geleden is aangenomen. De webpagina is gedeeltelijk gefinancierd door de EU zelf en zou organisaties informatie moeten geven over wat ze moeten doen om aan de AVG te voldoen.
Je kunt zien waarom iemand het lek classificeert als 'ironisch', maar als je het verhaal vanuit een andere hoek bekijkt, zou je kunnen stellen dat er absoluut geen ironie is in een GDPR-gerelateerde website die gegevens lekt. Elke website kan, ongeacht zijn doel, theoretisch kwetsbaar worden voor cyberaanvallen. Wat in dit specifieke geval ironisch is, is hoe GDPR.EU de gegevens lekte en wie verantwoordelijk was voor de beveiliging ervan.
Table of Contents
Een blootgestelde .git-map brengt GDPR.EU in gevaar
De ontwikkelaars van GDPR.EU gebruikten een Git-tool voor ontwikkeling om de versies van hun code en de wijzigingen die ze erin aanbrengen te volgen. Wanneer deze tools worden gebruikt om websites te maken, plaatsen ze veel gevoelige informatie (inclusief de volledige broncode) in een .git-map, die standaard in de hoofdmap wordt geplaatst. Vaak kopiëren ontwikkelaars die de taak hebben om een website te starten simpelweg de root-directory naar de productieserver te kopiëren en plakken, en .git-mappen komen ook online te staan. Je hebt al gevoelige informatie beschikbaar op de server en als directoryvermelding is ingeschakeld (een configuratiefout die niet zo ongewoon is als zou moeten), is het triviaal om er overal ter wereld doorheen te bladeren.
In het geval van GDPR.EU, toen de experts van Pen Test Partners een kijkje namen in de .git-map, vonden ze nogal wat bestanden gemaakt door WordPress, het inhoudbeheersysteem waarop de website is gebouwd. Een ervan, wp-config.php, bevatte het wachtwoord voor de MySQL-database van GDPR.EU. Zoals de onderzoekers opmerkten, is dit een intern systeem, dus het zou niet eenvoudig zijn om dit wachtwoord te gebruiken om de database te corrumperen of te stelen. Niettemin is wachtwoordhergebruik tegenwoordig zo gewoon dat we de kans niet moeten uitsluiten dat dezelfde inloggegevens andere GDPR.EU-gerelateerde bronnen ontgrendelen. Bovendien bevatte de .git-map ook Authentication Unique Keys and Salts, die volgens Pen Test Partners aanvallers in staat zouden kunnen stellen de website te beschadigen of in gevaar te brengen.
Openbare .git-mappen zijn al een tijdje een probleem
.git-mappen zijn niets nieuws en evenmin de configuratiefouten die tot hun blootstelling leiden. Jarenlang spraken beveiligingsonderzoekers over het belang van het beveiligen van de gegevens in .git-mappen, en er zijn nogal wat onderzoeken uitgevoerd waaruit blijkt dat ontwikkelaars en systeembeheerders het advies niet opvolgen. In 2018 bijvoorbeeld scande de Tsjechische beveiligingsexpert Vladimir Smitka ongeveer 230 miljoen domeinen en ontdekte dat 390 duizend van hen hun .git-mappen hadden. De scan kostte hem $ 250, wat, gezien hoe kostbaar een enkele inbreuk zou kunnen zijn, niets is. Daarentegen gaven Pen Test Partners geen cent uit om erachter te komen dat GDPR.EU zijn gegevens had vrijgegeven.
Er is een browserextensie die websites kan identificeren die gegevens lekken vanwege een openbare .git-map. Het heet DotGit en het is volledig gratis beschikbaar. Een lid van het team van Pen Test Partners liet het installeren en was gewoon op zoek naar meer informatie over GDPR. Zo gemakkelijk was het datalek te vinden. Gelukkig bleek het oplossen van het probleem ook niet al te moeilijk.
De ontwikkelaars van ProtonMail maakten de blunder
Binnen vier dagen na de eerste bekendmaking was de .git-map beveiligd en was de informatie niet langer openbaar toegankelijk. Wat interessant (en enigszins ironisch) is, is dat het bedrijf dat opereert en verantwoordelijk is voor de beveiliging van GDPR.EU Proton Technologies AG wordt genoemd, de ontwikkelaar van ProtomMail. Met andere woorden, de mensen die gebruikers een volledig veilige end-to-end gecodeerde e-mailservice beloven, maakten een vrij eenvoudige configuratiefout die een heel project in gevaar had kunnen brengen. Laten we hopen dat we in de toekomst minder van dergelijke incidenten zullen zien.
