O GDPR.EU deveria dar conselhos sobre privacidade virtual, mas expôs senhas
Na segunda-feira, Vangelis Stykas e Joe Durbin, da Pen Test Partners, escreveram sobre 'a ironia' de encontrar um vazamento de dados no GDPR.EU. Como você pode ver, o vazamento (que já foi protegido) foi realizado por um site dedicado ao Regulamento Geral de Proteção de Dados da União Européia que foi aprovado alguns anos atrás. A página da web foi parcialmente financiada pela própria UE e deve fornecer às organizações informações sobre o que elas precisam fazer para cumprir o RGPD.
Você pode ver por que alguém pode classificar o vazamento como "irônico", mas se você vê a história de um ângulo diferente, pode argumentar que não há absolutamente nenhuma ironia em um site relacionado ao GDPR que vaza dados. Qualquer site, independentemente da sua finalidade, pode teoricamente se tornar vulnerável a ataques cibernéticos. O que é irônico neste caso específico, no entanto, é como o GDPR.EU vazou os dados e quem foi responsável por sua segurança.
Índice
Uma pasta .git exposta coloca GDPR.EU em risco
Os desenvolvedores do GDPR.EU usaram uma ferramenta Git de desenvolvimento para rastrear as versões de seu código e as alterações feitas nele. Quando essas ferramentas são usadas para criar sites, elas colocam muitas informações confidenciais (incluindo todo o código-fonte) em uma pasta .git, que, por padrão, é colocada no diretório raiz. Freqüentemente, os desenvolvedores encarregados de iniciar um site simplesmente copiam / colam o diretório raiz no servidor de produção e as pastas .git também ficam online. Você já possui informações confidenciais disponíveis no servidor e, se a listagem de diretórios estiver ativada (um erro de configuração que não seja tão incomum quanto deveria ser), navegá-la de qualquer lugar do mundo é trivial.
No caso do GDPR.EU, quando os especialistas da Pen Test Partners deram uma espiada na pasta .git, eles encontraram alguns arquivos criados pelo WordPress, o sistema de gerenciamento de conteúdo no qual o site é construído. Um deles, wp-config.php, continha a senha do banco de dados MySQL do GDPR.EU. Como os pesquisadores apontaram, este é um sistema interno, portanto, não seria fácil usar essa senha para corromper ou roubar o banco de dados. No entanto, a reutilização de senha é tão comum hoje em dia que não devemos descartar as chances das mesmas credenciais desbloquearem outros recursos relacionados ao GDPR.EU. Além disso, a pasta .git também continha Chaves e sais exclusivos de autenticação, os quais, de acordo com os Pen Test Partners, podem permitir que os invasores desfigurem ou comprometam o site.
As pastas públicas .git são um problema há algum tempo
As pastas .git não são novidade e também não são os erros de configuração que levam à sua exposição. Durante anos, os pesquisadores de segurança têm falado sobre a importância de proteger os dados nas pastas .git, e várias pesquisas foram realizadas, mostrando que os desenvolvedores e administradores de sistema não estão atendendo aos conselhos. Em 2018, por exemplo, o especialista em segurança tcheco Vladimir Smitka examinou cerca de 230 milhões de domínios e descobriu que 390 mil deles tiveram suas pastas .git expostas. A verificação custou US $ 250, o que, considerando o custo de uma única violação, não é nada. Por outro lado, os Pen Test Partners não gastaram nem um centavo descobrindo que o GDPR.EU havia exposto seus dados.
Existe uma extensão do navegador que pode identificar sites que vazam dados devido a uma pasta .git pública. Chama-se DotGit e está disponível de forma totalmente gratuita. Um membro da equipe dos Pen Test Partners o instalou e estava simplesmente procurando mais informações sobre o GDPR. Foi assim que foi fácil encontrar o vazamento de dados. Felizmente, resolver o problema também não foi muito difícil.
Os desenvolvedores do ProtonMail fizeram o erro
Quatro dias após a divulgação inicial, a pasta .git estava protegida e as informações não estavam mais acessíveis ao público. O que é interessante (e um pouco irônico) é que a empresa que opera e é responsável pela segurança do GDPR.EU se chama Proton Technologies AG, desenvolvedora do ProtomMail. Em outras palavras, as pessoas que prometem aos usuários um serviço de e-mail criptografado de ponta a ponta completamente seguro cometeram um erro de configuração bastante básico que poderia colocar um projeto inteiro em risco. Vamos esperar ver menos incidentes desse tipo no futuro.
