Gần 400 nghìn trang web có nguy cơ bị tấn công, mất cắp dữ liệu thông qua mã nguồn mở repos.git

Hồng Phương, Phạm Thu Trang| 10/09/2018 18:42
Theo dõi ICTVietnam trên

Trang web được định cấu hình sai của bạn có thể đang hiển thị dữ liệu nhạy cảm, bao gồm cả mật khẩu cơ sở dữ liệu.

Kết quả hình ảnh cho Almost 400k websites risk hacking, data theft via open .git repos, researcher warnsNhà nghiên cứu bảo mật Séc Vladimír Smitka cảnh báo các nhà quản lý web nghiên cứu kỹ hơn cấu hình trang web, đặc biệt nếu họ sử dụng git để triển khai và quản lý nó.

Smitka gần đây đã quét 230 triệu trang web  trên toàn cầu trong hơn một tháng và tìm thấy 390.000 trang web có thư mục mở .git

Smitka cho biết đây là vấn đề khó chịu bởi vì người ngoài có thể truy cập trái phép các thông tin cấu trúc của trang web hoặc dữ liệu rất nhạy cảm như mật khẩu cơ sở dữ liệu, khóa API và hơn thế nữa.

Kẻ tấn công có thể sử dụng quyền truy cập này để từ từ xây dựng lại kho lưu trữ git của trang web hoặc tìm hiểu những thư viện nào được sử dụng và từ đó phát hiện ra các lỗ hổng tiềm ẩn.

Anh khởi động quá trình quét toàn cầu sau khi thực hiện ở Séc và Slovak, phát hiện ra có hơn 2.000 trang web chứa thư mục .git, khiến người ngoài có thể truy cập trái phép trang web.

Trên một số trang web tiếp xúc, anh đã tìm thấy mật khẩu cơ sở dữ liệu và người tải lên chưa được xác thực.

Nhưng động lực khiến anh thực hiện quét toàn bộ các trang web trên thế giới là anh có thể dễ dàng tìm thấy thông tin liên lạc của  chủ sở hữu của các trang web ở Séc và Slovak để thông báo khắc phục vấn đề.

Thông thường /Git/HEAD không được truy cập công khai, nhưng trên các trang web dễ bị tấn công, và thư mục đó chứa danh sách các cam kết và chi tiết về các cộng tác viên, bao gồm địa chỉ email của họ.

Thêm vào đó, các cảnh báo của anh ta đã nhanh chóng được phản hồi. Một tháng sau khi gửi 2.000 cảnh báo, anh đã quét lại các trang web và chỉ còn 874 trang web chứa các thư mục .git, có nghĩa là tỷ lệ thành công 55 phần trăm.

Sau khi hoàn tất quá trình quét toàn cầu, anh đã gửi một loạt hơn 90.000 email khác cho quản trị viên trang web bị ảnh hưởng, hướng dẫn họ đọc các mô tả vấn đề và các bước xử lý.

"Tôi không tải xuống những dữ liệu nhạy cảm của bạn ngoại trừ địa chỉ email, địa chỉ này sẽ bị lãng quên sau khi nghiên cứu. Tôi sẽ không lưu trữ hoặc sử dụng nó cho bất kỳ mục đích nào khác".

Hầu hết các tin nhắn cảnh báo của anh đều được đón nhận tích cực với hơn 300 tin nhắn cảm ơn và 2,000 thư cảm ơn.

git-affected-domains.jpg

Tuy nhiên, anh cũng nhận được cuộc gọi của cảnh sát Canada và 2 cáo buộc gửi thư rác.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
Gần 400 nghìn trang web có nguy cơ bị tấn công, mất cắp dữ liệu thông qua mã nguồn mở repos.git
POWERED BY ONECMS - A PRODUCT OF NEKO