GDPR.EU tänkte ge råd om virtuell integritet men det exponerade lösenord istället
På måndag skrev Vangelis Stykas och Joe Durbin från Pen Test Partners om "det ironiska" att hitta en dataläcka i GDPR.EU. Som ni kan se var läckan (som sedan har säkerställts) gjorts av en webbplats tillägnad Europeiska unionens allmänna dataskyddsförordning som antogs för ett par år sedan. Webbsidan finansierades delvis av EU själv, och den är tänkt att ge organisationer information om vad de behöver göra för att följa GDPR.
Du kan se varför någon kan klassificera läckan som "ironisk", men om du ser berättelsen från en annan vinkel, kan du hävda att det absolut inte finns någon ironi i en GDPR-relaterad webbplats som läcker data. Varje webbplats, oavsett syfte, kan teoretiskt bli sårbar för cyberattacker. Det som emellertid är ironiskt i detta specifika fall är hur GDPR.EU läckte uppgifterna och vem som var ansvarig för dess säkerhet.
Table of Contents
En exponerad .git-mapp utsatte GDPR.EU i riskzonen
GDPR.EU: s utvecklare använde ett utvecklings Git-verktyg för att spåra versionerna av sin kod och de ändringar de gjorde i den. När dessa verktyg används för att skapa webbplatser lägger de mycket känslig information (inklusive hela källkoden) i en .git-mapp, som som standard är placerad i rotkatalogen. Ofta har utvecklare som har till uppgift att starta en webbplats helt enkelt kopiera / klistra in rotkatalogen till produktionsservern och .git-mappar hamnar också online. Redan har du känslig information tillgänglig på servern, och om kataloglistan är aktiverad (ett konfigurationsfel som inte är så ovanligt som det borde vara) är det lätt att bläddra igenom den var som helst i världen.
När det gäller GDPR.EU, när Pen Test Partners experter tittade in i .git-mappen, hittade de en hel del filer skapade av WordPress, det innehållshanteringssystem som webbplatsen är byggt på. En av dem, wp-config.php, innehöll lösenordet för GDPR.EU: s MySQL-databas. Som forskarna påpekade är detta ett internt system, så det skulle inte vara lätt att använda det här lösenordet för att skada eller stjäla databasen. Ändå är återanvändning av lösenord så vanligt idag att vi inte bör utesluta chansen att samma referenser låser upp andra GDPR.EU-relaterade resurser. Dessutom innehöll .git-mappen också Autentiserings unika nycklar och salter, som enligt Pen Test Partners kan tillåta angripare att trassla eller kompromissa med webbplatsen.
Offentliga .git-mappar har varit ett problem ett tag nu
.git-mappar är inget nytt och inte heller konfigurationsfelen som leder till deras exponering. I flera år har säkerhetsforskare pratat om vikten av att säkra uppgifterna i .git-mappar, och en hel del undersökningar har genomförts, som visar att utvecklare och systemadministratörer inte följer rådgivningen. År 2018 skannade till exempel den tjeckiska säkerhetseksperten Vladimir Smitka cirka 230 miljoner domäner och fann att 390 tusen av dem hade sina .git-mappar exponerade. Skanningen kostade honom $ 250, vilket, med tanke på hur kostsamt ett enda brott kan vara, är ingenting. Däremot spenderade Pen Test Partners inte ens ett öre för att få reda på att GDPR.EU hade utsatt sina uppgifter.
Det finns en webbläsarextension som kan identifiera webbplatser som läcker data på grund av en offentlig .git-mapp. Det heter DotGit, och det är tillgängligt helt gratis. En medlem av Pen Test Partners-teamet hade det installerat och letade helt enkelt efter mer information om GDPR. Så enkelt var det att hitta dataläckan. Lyckligtvis var det inte så svårt att fixa problemet.
ProtonMails utvecklare gjorde felet
Inom fyra dagar efter det första avslöjandet var .git-mappen säkrad, och informationen var inte längre offentligt tillgänglig. Det som är intressant (och lite ironiskt) är att företaget som driver och ansvarar för säkerheten för GDPR.EU kallas Proton Technologies AG, utvecklaren av ProtomMail. Med andra ord, de människor som lovar användare en helt säker krypterad e-posttjänst från slutet till slutet gjorde ett ganska grundläggande konfigurationsfel som kunde ha satt ett helt projekt i riskzonen. Låt oss hoppas att vi ser färre sådana incidenter i framtiden.
