Посвященный защите информации сайт допустил утечку данных

Исследователи из компании Pen Test Partners обнаружили на посвященном защите информации сайте GDPR.eu уязвимость, позволявшую любому пользователю Сети извлечь логин и пароль для базы данных MySQL.

Ресурс GDPR.eu представляет собой консультативный сайт для организаций, которым необходимы советы по соблюдению требований «Общего регламента защиты данных» (The General Data Protection Regulation, GDPR). Сайтом GDPR.eu управляет швейцарская корпорация Proton Technologies AG, владеющая защищенной почтовой службой ProtonMail.

Проблема была связана с тем, что папка .git на сайте была доступна для чтения любому пользователю в интернете. Это достаточно распространенная проблема, возникающая из-за отсутствия правильной конфигурации. Многие web-разработчики используют инструмент разработки Git с открытым исходным кодом для создания страниц для отслеживания всех изменений, внесенных в файлы проекта. Папка .git может содержать исходный код, ключи доступа к серверу, пароли базы данных, размещенные файлы, встроенный модификатор входа хэш-функции (соль) и пр.

В репозитории сайта GDPR.eu находилась копия wp-config.php, ключевого файла, содержащего информацию, нужную для работы сайтов на WordPress. В данном файле в том числе содержались настройки управления базой данных MySQL (имя, локальный хост, логин и пароль). Злоумышленник с доступом к данному файлу мог переписать содержимое сайта или вовсе удалить его.

Специалисты проинформировали Proton Technologies о своих находках, и компания вскоре исправила уязвимость. По словам представителей компании, сайт размещается на независимой сторонней инфраструктуре, не содержит никаких пользовательских данных, а информация в папке git не могла привести к дефейсу gdpr.eu, поскольку доступ к базе данных ограничен.