GDPR.EU原本打算就虚拟隐私提供建议,但是却公开了密码
周一, Pen Test Partners的 Vangelis Stykas和Joe Durbin写道发现GDPR.EU数据泄漏的“讽刺意味”。如您所见,泄漏(此问题已得到修复)是由几年前通过的专门针对欧盟《通用数据保护条例》的网站完成的。该网页部分由欧盟本身提供资金,并且应该向组织提供有关其遵守GDPR所需采取的措施的信息。
您可以看到有人将泄漏归类为“讽刺性”的原因,但是如果您从另一个角度来看这个故事,您可能会说与GDPR相关的网站泄漏数据绝对没有讽刺意味。任何网站,无论其目的如何,理论上都可能容易受到网络攻击。然而,在此特殊情况下具有讽刺意味的是,GDPR.EU如何泄漏数据以及由谁负责其安全。
Table of Contents
暴露的.git文件夹使GDPR.EU处于风险中
GDPR.EU的开发人员使用开发Git工具来跟踪其代码的版本以及对其进行的更改。使用这些工具创建网站时,它们将许多敏感信息(包括整个源代码)放在.git文件夹中,该文件夹默认情况下位于根目录中。通常,负责启动网站的开发人员只需将根目录复制/粘贴到生产服务器,.git文件夹也最终在线。您已经在服务器上获得了敏感信息,并且如果启用了目录列表(一种配置错误,这种情况并没有那么普遍),那么从世界上任何地方浏览它都是很简单的。
对于GDPR.EU,当Pen Test Partners的专家窥视.git文件夹时,他们发现了很多由WordPress创建的文件,WordPress是构建网站的内容管理系统。其中之一wp-config.php包含GDPR.EU的MySQL数据库的密码。正如研究人员指出的那样,这是一个内部系统,因此使用此密码来破坏或窃取数据库并不容易。尽管如此,如今密码重用非常普遍,我们不应该排除使用相同凭据解锁其他GDPR.EU相关资源的可能性。而且,.git文件夹还包含“身份验证唯一密钥”和“盐”,根据Pen Test Partners的说法,它们可能使攻击者破坏或破坏网站。
公用.git文件夹已经有一段时间了
.git文件夹不是什么新鲜事物,也不是导致其暴露的配置错误。多年以来,安全研究人员一直在讨论保护.git文件夹中数据的重要性,并且已经进行了许多调查,这些调查表明开发人员和系统管理员没有听从这些建议。例如,在2018年,捷克安全专家弗拉基米尔·史密特卡(Vladimir Smitka) 扫描了约2.3亿个域,发现其中39万个暴露了.git文件夹。扫描花费了他250美元,考虑到一次违规可能造成的损失,这算不了什么。相比之下,Pen Test Partners甚至不花一分钱就发现GDPR.EU暴露了其数据。
有一个浏览器扩展程序,可以识别由于公共.git文件夹而泄漏数据的网站。它称为DotGit,并且完全免费提供。笔测试合作伙伴团队的成员安装了该组件,只是在寻找有关GDPR的更多信息。这很容易发现数据泄漏。幸运的是,解决该问题也没有太困难。
ProtonMail的开发人员犯了大错
首次公开后的四天内,.git文件夹已受到保护,并且该信息不再可公开访问。有趣的是(有点讽刺意味的)是,负责GDPR.EU安全运营并负责GDPR.EU的公司名为Proton Technologies AG,ProtomMail的开发商。换句话说,向用户保证完全安全的端到端加密电子邮件服务的人犯了一个非常基本的配置错误,可能使整个项目面临风险。希望我们以后看到的此类事件更少。
