Descoberto 390.000 sites com a pasta .git exposta na web

Um pesquisador afirma ter descoberto 390.000 sites com a pasta .git exposta na web. Confira os detalhes dessa descoberta e suas consequências.


Ter o conteúdo de um site exposto na web é normal e faz parte de no objetivo. Entretanto, certas partes do site são ocultadas do acesso da maioria por questões de segurança.
Descoberto 390.000 sites com a pasta .git exposta na web

Isso também vale para sites que compartilham arquivos ou atuam como repositórios, e foi exatamente nesse último caso que foram descobertos vários sites vulneráveis.

Descoberto 390.000 sites com a pasta .git exposta na web

Depois de varrer mais de 230 milhões de domínios, o pesquisador de segurança tcheco da Lynt Services, Vladimir Smitka, encontrou mais de 390.000 sites com repositórios .git de código-fonte expostos à web.

Embora repositórios git publicamente disponíveis não sejam desconhecidos, com muitos deles em plataformas de desenvolvimento de software online como o GitHub, ter um repositório privado compartilhado publicamente na web não é uma boa idéia.

Os desenvolvedores e administradores de sites devem levar em conta o fato de que um repositório .git de produção pode conter dados confidenciais, como chaves de API privadas e senhas de bancos de dados.

Em seu relatório, Smitka diz o seguinte:

“esses dados não devem ser armazenados no repositório, mas em varreduras anteriores de vários problemas de segurança, eu encontrei muitos desenvolvedores que não seguem essas práticas recomendadas”.

Além disso, arquivos repo como .git/index podem ser usados ​​para coletar informações sobre a estrutura interna do aplicativo, com os terminais e a estrutura interna do aplicativo sendo os primeiros que vêm à mente.

Smitka começou em uma escala muito menor, analisando sites tchecos e eslovacos. Os resultados, 1.925 sites checos e 931 sites abertos da Eslováquia, fizeram-no pensar que o problema é mais grave do que ele pensava anteriormente.

O próximo passo foi reunir uma enorme lista de 230 milhões de domínios e escaneá-los usando o mesmo script usado para encontrar os servidores configurados incorretamente em sites tchecos e eslovacos.

Após quatro semanas, Smitka encontrou incríveis 390.000 sites com uma pasta .git exposta e decidiu entrar em contato com os desenvolvedores por trás de cada site para informá-los de sua descoberta e fornecer conselhos sobre correções.

“Depois de enviar os e-mails, troquei cerca de 300 mensagens adicionais com as partes afetadas para esclarecer a questão”, afirma o pesquisador em sua história.

“Recebi quase 2.000 e-mails de agradecimento, 30 falsos positivos, 2 denúncias de golpistas/spammers e 1 ameaça de ligar para a polícia canadense.”

Se você tem um repositório git, é bom dar uma conferida nas configurações dele, para evitar surpresas.

O que está sendo falado no blog

Deixe um comentário

Sair da versão mobile