Игра с огнем: миллионы папок .git находятся в открытом доступе

Почти два миллиона папок .git, содержащих важнейшую информацию о проектах, находятся в открытом доступе, сообщила исследовательская группа Cybernews. Эти папки содержат ценную для хакеров информацию: адреса удаленных репозиториев, журналы фиксации и другие важные метаданные. Если оставить эти данные в открытом доступе, это может привести к взлому системы.

Например, другое недавнее исследование команды Cybernews показало, что CarbonTV, американская служба потокового вещания, оставила сервер с исходным кодом открытым, что поставило под угрозу безопасность пользователей и репутацию компании. Утечка исходного кода произошла из-за слабого контроля доступа к папке .git.

Несмотря на важность этой информации, последнее исследование протокола IPv4 и портов 80 и 443 показало, что о ней не всегда заботятся должным образом., в частности, наиболее распространенных портов веб-служб 80 и 443, показало, что о ней не всегда заботятся должным образом.

Исследователи обнаружили 1 931 148 IP-адресов с действующими серверами, у которых папки .git находились в открытом доступе.

Более 31% всех папок в публичном доступе принадлежат разработчикам из США, следом за ними идет Китай (8%) и Германия (6,5%).

Копнув немного глубже, исследователи обнаружили, что около 6,3% публично доступных файлов конфигурации .git содержат в себе учетные данные.

На скриншоте выше показан файл .git/config с учетными данными. Такие файлы могут быть использованы злоумышленниками для просмотра/доступа/выгрузки/загрузки файлов, что полностью развязывает хакерам руки.

Эксперт Cybernews Мартинас Варейкис рекомендует разработчикам использовать файл .gitignore для сокрытия конфиденциальных данных при фиксации изменений в проекте на GitHub, а также озаботиться защитой доступа к публичным веб-серверам по IP-адресу.