GDPR.EU原本打算就虛擬隱私提供建議,但是卻公開了密碼
週一, Pen Test Partners的 Vangelis Stykas和Joe Durbin寫道發現GDPR.EU數據洩漏的“諷刺意味”。如您所見,洩漏(此問題已得到修復)是由幾年前通過的專門針對歐盟《通用數據保護條例》的網站完成的。該網頁部分由歐盟本身提供資金,並且應該向組織提供有關其遵守GDPR所需採取的措施的信息。
您可以看到為什麼有人會將洩漏歸類為“諷刺性”,但是如果您從另一個角度來看這個故事,則可能會爭辯說與GDPR相關的網站洩漏數據絕對沒有諷刺意味。任何網站,無論其目的如何,理論上都可能容易受到網絡攻擊。然而,在此特殊情況下具有諷刺意味的是,GDPR.EU如何洩漏數據以及由誰負責其安全。
Table of Contents
暴露的.git文件夾使GDPR.EU處於風險中
GDPR.EU的開發人員使用開發Git工具來跟踪其代碼的版本以及對其進行的更改。使用這些工具創建網站時,它們將許多敏感信息(包括整個源代碼)放在.git文件夾中,該文件夾默認情況下位於根目錄中。通常,負責啟動網站的開發人員只需將根目錄複製/粘貼到生產服務器,.git文件夾也最終在線。您已經在服務器上獲得了敏感信息,並且如果啟用了目錄列表(一種配置錯誤,這種情況並沒有那麼普遍),那麼從世界任何地方瀏覽它都是很簡單的。
對於GDPR.EU,當Pen Test Partners的專家窺視.git文件夾時,他們發現了很多由WordPress創建的文件,WordPress是構建網站的內容管理系統。其中之一wp-config.php包含GDPR.EU的MySQL數據庫的密碼。正如研究人員指出的那樣,這是一個內部系統,因此使用此密碼來破壞或竊取數據庫並不容易。儘管如此,如今密碼重用非常普遍,我們不應該排除使用相同憑據解鎖其他GDPR.EU相關資源的可能性。而且,.git文件夾還包含“身份驗證唯一密鑰”和“鹽”,根據Pen Test Partners的說法,它們可能使攻擊者破壞或破壞網站。
公用.git文件夾已經有一段時間了
.git文件夾不是什麼新鮮事物,也不是導致其暴露的配置錯誤。多年以來,安全研究人員一直在討論保護.git文件夾中數據的重要性,並且已經進行了許多調查,這些調查表明開發人員和系統管理員沒有聽從這些建議。例如,在2018年,捷克安全專家弗拉基米爾·史密特卡(Vladimir Smitka) 掃描了約2.3億個域,發現其中39萬個暴露了.git文件夾。掃描花費了他250美元,考慮到一次違規可能造成的損失,這算不了什麼。相比之下,Pen Test Partners甚至不花一分錢就發現GDPR.EU暴露了其數據。
有一個瀏覽器擴展程序,可以識別由於公共.git文件夾而洩漏數據的網站。它稱為DotGit,並且完全免費提供。筆測試合作夥伴團隊的成員安裝了該組件,只是在尋找有關GDPR的更多信息。這很容易發現數據洩漏。幸運的是,解決該問題也沒有太困難。
ProtonMail的開發人員犯了大錯
首次公開後的四天內,.git文件夾已受到保護,並且該信息不再可公開訪問。有趣的是(有點諷刺意味的)是,負責GDPR.EU安全運營並負責GDPR.EU的公司名為Proton Technologies AG,ProtomMail的開發商。換句話說,向用戶保證完全安全的端到端加密電子郵件服務的人犯了一個非常基本的配置錯誤,可能使整個項目面臨風險。希望我們以後看到的此類事件更少。
