С крупного сайта по кибербезопасности могли быть похищены личные данные

Дата: 30.04.2020. Автор: CISOCLUB. Категории: Новости по информационной безопасности
С крупного сайта по кибербезопасности могли быть похищены личные данные

Специалисты компании Pen Test Partners нашли на сайте GDPR eu уязвимость, с помощью которой киберпреступники и даже простые пользователи имели возможность получить авторизационные данные зарегистрированных лиц для БД MySQL.

Сайт GDPR eu позиционируется в качестве сайта для консультаций, которые предоставляются компаниям, заинтересованным в получении рекомендаций по соблюдению «Общего регламента защиты данных». Управление ресурсом находится в руках крупной корпорации Proton Technologies AG из Швейцарии.

Суть обнаруженной проблемы состоит в том, что папка .git на сайте полностью доступна для всех посетителей. Это нередкая ошибка со стороны программистов, происходящая по причине неправильной конфигурации. Веб-разработчики из различных компаний активно пользуются инструментов Git, который имеет открытый исходный код, для создания веб-страниц в целях слежки за изменениями, которые были внесены в файлы. В одноименной папке содержится исходный код, ключи доступа к серверу, пароли БД, размещаемые файлы и многое другое.

Специалисты Pen Test Partners обнаружили в репозитории ресурса копию wp-config php, ключевого файла, который содержит данные, необходимые для функционирования веб-ресурсов на WordPress. В этом файле также имели настройки для управления БД MySQL. Поэтому любой человек, даже необязательной киберпреступник, получив доступ к этому файлу, имел возможность полностью изменить содержимое и наполнение ресурса, либо удалить его.

Сотрудники Pen Tan Partners отправили официальный отчет в швейцарскую фирму Proton Technologies, указав на имеющиеся уязвимости. Проблема была устранена швейцарцами еще до ее публикации – в этом плане сайт GDPR eu сейчас стал безопасным. Представители швейцарской корпорации отметили, что подконтрольный им сайт размещен на независимой сторонней платформе, не имеет в базе данных личных данных пользователей, поэтому даже полный доступ к папке .git не мог привести к каким-либо проблемам, потому что стоят строгие ограничения на доступ к работающей базе данных.

Об авторе CISOCLUB

Редакция CISOCLUB. Официальный аккаунт. CISOCLUB - информационный портал и профессиональное сообщество специалистов по информационной безопасности.
Читать все записи автора CISOCLUB

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *