RODO miało służyć radą w zakresie wirtualnej prywatności, ale zamiast tego ujawniło hasła
W poniedziałek Vangelis Stykas i Joe Durbin z Pen Test Partners napisali o „ironii” znalezienia wycieku danych w GDPR.EU. Jak widać, przeciek (który został zabezpieczony) został wykonany przez stronę internetową poświęconą ogólnemu rozporządzeniu o ochronie danych w Unii Europejskiej, które zostało uchwalone kilka lat temu. Strona została częściowo sfinansowana przez samą UE, a jej celem jest dostarczenie organizacjom informacji na temat tego, co muszą zrobić, aby spełnić RODO.
Możesz zrozumieć, dlaczego ktoś może sklasyfikować wyciek jako „ironiczny”, ale jeśli spojrzysz na historię z innej perspektywy, możesz argumentować, że absolutnie nie ma ironii w witrynach związanych z RODO. Każda strona internetowa, bez względu na cel, może teoretycznie stać się podatna na cyberataki. Ironią w tym konkretnym przypadku jest jednak to, w jaki sposób GDPR.EU wyciekło z danych i kto był odpowiedzialny za ich bezpieczeństwo.
Table of Contents
Wyeksponowany folder .git stanowi zagrożenie dla GDPR.EU
Programiści GDPR.EU wykorzystali programistyczne narzędzie Git do śledzenia wersji swojego kodu i wprowadzanych w nim zmian. Gdy narzędzia te są używane do tworzenia stron internetowych, umieszczają wiele poufnych informacji (w tym cały kod źródłowy) w folderze .git, który domyślnie znajduje się w katalogu głównym. Często programiści, których zadaniem jest uruchomienie strony internetowej, po prostu kopiują / wklejają katalog główny na serwer produkcyjny, a foldery .git również kończą się w trybie online. Masz już poufne informacje na serwerze, a jeśli włączona jest lista katalogów (błąd konfiguracji, który nie jest tak rzadki, jak powinien), przeglądanie ich z dowolnego miejsca na świecie jest banalne.
W przypadku GDPR.EU, gdy eksperci Pen Test Partners zajrzeli do folderu .git, znaleźli sporo plików utworzonych przez WordPress, system zarządzania treścią, na którym zbudowana jest strona internetowa. Jeden z nich, wp-config.php, zawierał hasło do bazy danych MySQL GDPR.EU. Jak zauważyli naukowcy, jest to system wewnętrzny, więc użycie tego hasła do uszkodzenia lub kradzieży bazy danych nie byłoby łatwe. Niemniej jednak ponowne użycie hasła jest obecnie tak powszechne, że nie powinniśmy wykluczać szansy, że te same dane uwierzytelniające odblokują inne zasoby związane z RODO. Co więcej, folder .git zawierał także unikatowe klucze i sole uwierzytelniania, które według Pen Test Partners mogą pozwolić atakującym na zniszczenie lub złamanie zabezpieczeń witryny.
Publiczne foldery .git od pewnego czasu stanowią problem
Foldery .git nie są niczym nowym, podobnie jak błędy konfiguracji, które prowadzą do ich ujawnienia. Przez lata analitycy bezpieczeństwa mówili o znaczeniu zabezpieczenia danych w folderach .git i przeprowadzono wiele ankiet, które pokazują, że programiści i administratorzy systemu nie uwzględniają tej porady. Na przykład w 2018 roku czeski ekspert ds. Bezpieczeństwa Vladimir Smitka przeskanował około 230 milionów domen i odkrył, że 390 tysięcy z nich ma odsłonięte foldery .git. Skan kosztował go 250 USD, co biorąc pod uwagę, jak kosztowne może być pojedyncze naruszenie, jest niczym. Z kolei partnerzy testu pióra nie wydali ani grosza na ustalenie, że RODO.EU ujawnił swoje dane.
Istnieje rozszerzenie przeglądarki, które może identyfikować witryny wyciekające z powodu publicznego folderu .git. Nazywa się DotGit i jest dostępny całkowicie bezpłatnie. Członek zespołu Pen Test Partners zainstalował go i po prostu szukał więcej informacji na temat RODO. Tak łatwo było znaleźć wyciek danych. Na szczęście naprawienie problemu również nie okazało się zbyt trudne.
Programiści ProtonMail popełnili błąd
W ciągu czterech dni od pierwszego ujawnienia folder .git został zabezpieczony, a informacje nie były już publicznie dostępne. Interesujące (i nieco ironiczne) jest to, że firma, która działa i jest odpowiedzialna za bezpieczeństwo RODO, nosi nazwę Proton Technologies AG, twórca ProtomMail. Innymi słowy, ludzie, którzy obiecują użytkownikom całkowicie bezpieczną, szyfrowaną usługę e-mail, popełnił dość podstawowy błąd konfiguracji, który mógł narazić cały projekt na ryzyko. Miejmy nadzieję, że w przyszłości będzie mniej takich incydentów.
