Как стать автором
Обновить

Сайт GDPR.eu о защите информации хранил в открытом доступе .git-репозиторий MySQL

Время на прочтение2 мин
Количество просмотров8.4K
imageФото: www.pentestpartners.com

Исследователи безопасности Pen Test Partners заметили, что на сайте GDPR.eu, который посвящен защите информации и спонсируется ЕС, хранится в открытом доступе папка .git, из которой любой мог клонировать логин и пароль для базы данных MySQL.

GDPR.eu работает в консультирующем режиме с теми, кто намерен соблюдать требования «Общего регламента защиты данных» (The General Data Protection Regulation, GDPR). Сайтом управляет швейцарская корпорация Proton Technologies AG, она же владеет защищенной почтовой службой ProtonMail.

Разработчики использовали инструмент Git с открытым исходным кодом. Он позволяет отслеживать изменения, внесенные в файлы проекта. При этом папка .git может содержать исходный код, ключи доступа к серверу, пароли базы данных, встроенный модификатор входа хэш-функции и прочие данные.

imageФото: www.pentestpartners.com

В репозитории GDPR.eu находилась копия wp-config.php, ключевого файла с информацией по работе сайтов на WordPress. Сам файл включал настройки управления базой данных MySQL, в том числе имя, локальный хост, логин и пароль. Если злоумышленник получал доступ к этому файлу, то он мог переписать содержимое сайта, либо удалить его.

imageФото: www.pentestpartners.com

Когда Proton Technologies сообщили об уязвимости, та удалила ее. Представитель PT заявил: «Мы были проинформированы об этой проблеме в пятницу, 24 апреля, и вскоре после этого было развернуто исправление. Gdpr.eu размещается на независимой сторонней инфраструктуре и не содержит никаких пользовательских данных в открытом доступе». Папка git не может привести к повреждению gdpr.eu, потому что доступ к базе данных ограничен внутренним. Важно отметить, что никакая личная информация не хранится в gdpr.eu и никакие конфиденциальные данные не могли быть в опасности».
См. также: «Мониторинг производительности MySQL для Grafana на изичах за 20 минут»
Теги:
Хабы:
Всего голосов 28: ↑2 и ↓26-20
Комментарии8

Другие новости

Истории

Работа

Ближайшие события

7 – 8 ноября
Конференция byteoilgas_conf 2024
МоскваОнлайн
7 – 8 ноября
Конференция «Матемаркетинг»
МоскваОнлайн
15 – 16 ноября
IT-конференция Merge Skolkovo
Москва
22 – 24 ноября
Хакатон «AgroCode Hack Genetics'24»
Онлайн
28 ноября
Конференция «TechRec: ITHR CAMPUS»
МоскваОнлайн
25 – 26 апреля
IT-конференция Merge Tatarstan 2025
Казань