Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Методический сайт по GDPR скомпрометировал внутренние данные

В открытом доступе обнаружен архив сайта GDPR.EU. По иронии судьбы, грубое нарушение правил хранения конфиденциальной информации допустил ресурс, который дает компаниям рекомендации по соблюдению требований единого европейского регламента защиты данных (GDPR). Об этом пишет Threat Post.

Исследователи безопасности Вангелис Стикас (Vangelis Stykas) и Джо Дурбин (Joe Durbin) из компании Pen Test Partners обнаружили в Сети папку формата .git, в которой находились пароли и другая внутренняя информация ресурса GDPR.EU. По словам специалистов, папка оказалась в открытом доступе из-за неверных настроек – эта проблема конфигурации преследует невнимательных пользователей уже много лет. Так, в 2018 г. она выявлена у 390 тыс. ресурсов.

Многие веб-разработчики используют инструмент Git на основе открытого кода для создания своих сайтов. Программа позволяет удобно отслеживать изменения, внесенные в ходе проекта. Вся история изменений хранится в отдельной папке .git. Однако, если команда разработки не защищает ее должным образом, файл может быть доступен для просмотра в Интернете (иногда папка даже индексируется поиском Google). В архиве .git могут храниться исходные коды, ключи доступа к серверу, пароли к базам данных, а также различные файлы и криптографическая соль (модификаторы входа хэш-функции).

По словам Стикаса и Дурбина, они смогли обнаружить незащищенную папку .git с помощью простого плагина браузера DotGit. Открыв папку, исследователи нашли различные файлы WordPress, включая wp-confyg. В результате также скомпрометированы параметры управления базой данных MySQL. Как подчеркивают исследователи, наличие в свободном доступе ключей доступа и соли потенциально могло привести к взлому сайта.

GDPR.EU – методический ресурс для организаций, стремящихся обеспечить соответствие требованиям регламента GDPR (действует с 25 мая 2018 г.). Веб-сайтом управляет швейцарская компания Proton Technologies AG – разработчик зашифрованного почтового сервиса ProtonMail. Хотя GDPR.EU не является официальным сайтом Еврокомиссии, он получает финансирование в рамках программы Horizon 2020, направленной на стимулирование исследований и инноваций в Евросоюзе.

 

 

 

 

 

 

Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.