GDPR.EU хотел дать совет по виртуальной конфиденциальности, но вместо этого он выставил пароли
В понедельник Вангелис Стикас и Джо Дурбин из Pen Test Partners написали об «иронии» обнаружения утечки данных в GDPR.EU. Как вы можете видеть, утечка (которая с тех пор была устранена) была сделана на веб-сайте, посвященном Общему регламенту ЕС о защите данных, который был принят пару лет назад. Веб-страница была частично профинансирована самим ЕС, и она должна предоставлять организациям информацию о том, что им нужно сделать, чтобы соблюдать GDPR.
Вы можете понять, почему кто-то может классифицировать утечку как «ироничную», но если вы посмотрите на историю под другим углом зрения, вы можете утверждать, что в утечке данных, связанных с GDPR, нет абсолютно никакой иронии. Любой веб-сайт, независимо от его цели, теоретически может стать уязвимым для кибератак. Однако ирония в данном конкретном случае заключается в том, как GDPR.EU утекли данные и кто отвечал за их безопасность.
Table of Contents
Открытая папка .git подвергает риск GDPR.EU
Разработчики GDPR.EU использовали инструмент разработки Git для отслеживания версий своего кода и изменений, которые они вносят в него. Когда эти инструменты используются для создания веб-сайтов, они помещают много конфиденциальной информации (включая весь исходный код) в папку .git, которая по умолчанию находится в корневом каталоге. Зачастую разработчики, которым поручено запустить веб-сайт, просто копируют / вставляют корневой каталог на рабочий сервер, и папки .git также оказываются в сети. У вас уже есть конфиденциальная информация, доступная на сервере, и, если включен список каталогов (ошибка конфигурации, которая не так уж и редка, как должно быть), просмотр ее из любой точки мира тривиален.
В случае GDPR.EU, когда эксперты Pen Test Partners заглянули в папку .git, они обнаружили довольно много файлов, созданных WordPress, системой управления контентом, на которой построен веб-сайт. Один из них, wp-config.php, содержал пароль для базы данных MySQL GDPR.EU. Как отметили исследователи, это внутренняя система, поэтому использовать этот пароль для повреждения или кражи базы данных будет нелегко. Тем не менее, повторное использование паролей в настоящее время настолько распространено, что мы не должны исключать вероятность того, что те же учетные данные откроют другие ресурсы, связанные с GDPR.EU. Более того, папка .git также содержала уникальные ключи аутентификации и соли, которые, по мнению партнеров по тестированию Pen, могли позволить злоумышленникам испортить или взломать веб-сайт.
Общие папки .git уже давно стали проблемой
В папках .git нет ничего нового, равно как и ошибки конфигурации, которые приводят к их уязвимости. В течение многих лет исследователи безопасности говорили о важности защиты данных в папках .git, и было проведено немало опросов, которые показывают, что разработчики и системные администраторы не прислушиваются к советам. Например, в 2018 году чешский эксперт по безопасности Владимир Смитка просканировал около 230 миллионов доменов и обнаружил, что у 390 тысяч из них были открыты папки .git. Сканирование обошлось ему в 250 долларов, что с учетом того, насколько дорогостоящим может быть одно нарушение, - ничто. В отличие от этого, Pen Test Partners даже не потратили ни копейки, узнав, что GDPR.EU раскрыл свои данные.
Существует расширение браузера, которое может идентифицировать веб-сайты, у которых есть утечка данных из-за публичной папки .git. Он называется DotGit и доступен совершенно бесплатно. Член команды Pen Test Partners установил его и просто искал дополнительную информацию о GDPR. Вот как легко было найти утечку данных. К счастью, решение проблемы не оказалось слишком сложным.
Разработчики ProtonMail сделали ошибку
В течение четырех дней после первоначального раскрытия папка .git была защищена, и информация больше не была общедоступной. Что интересно (и немного иронично), так это то, что компания, которая работает и отвечает за безопасность GDPR.EU, называется Proton Technologies AG, разработчик ProtomMail. Другими словами, люди, которые обещают пользователям полностью защищенную сквозную зашифрованную почтовую службу, совершили довольно простую ошибку конфигурации, которая могла поставить под угрозу весь проект. Будем надеяться, что мы увидим меньше таких инцидентов в будущем.
