Zehntausende Git Repos Öffentlich

[abcddcba]

Hallo.

Keine Ahnung ob es hier her passt und wird wahrscheinlich eh zeitnah gelöscht, aber evtl. interessiert es ja doch den einen oder anderen, einige werden es aber sicher schonb gelesen haben. (und sorry falls es dir News hier auf CB doch schon gab, hab jetzt nix gefunden)

Ich bin mal so frei und zitiere (Quelle)

Zehntausende Internetseiten in Deutschland sind unzureichend vor Angriffen geschützt. Das zeigen Recherchen des NDR zusammen mit dem Computermagazin "c't" und der Wochenzeitung "Die Zeit". Demnach sind bei den Seiten Teile des dahinter stehenden Programmcodes zugänglich, die nicht für die Öffentlichkeit bestimmt sind. So können Angreifer in einzelnen Fällen Zugriff auf Passwörter und sensible Daten erlangen. Betroffen sind Mittelständler ebenso wie Großkonzerne und privat betriebene Webseiten.

Die Reporterinnen und Reporter haben die Ergebnisse der Sicherheitsfirma in Stichproben überprüft. In über 250 Fällen lässt die Adresse der Webseite den Schluss zu, dass es sich um Unternehmen aus dem medizinischen Bereich, beispielsweise Kliniken, handelt. Auch zahlreiche Banken und Finanzdienstleister betreiben derart falsch konfigurierte Webseiten. Ein Teil der Webseiten wirkt indes veraltet und wird offenbar nicht aktiv genutzt.

Bei der Sicherheitslücke handelt es sich konkret um eine fehlerhafte Ordner-Freigabe. Sie ist in weit verbreiteten Programmen für Webserver standardmäßig aktiviert und erlaubt den Zugriff auf sogenannte Git-Repositories ...

Diese Änderungen - und damit die zugrundeliegende Programmierung einer Webseite - sollte ein Nutzer in der Regel nicht einsehen können. Durch die fehlerhafte Freigabe lassen sich die Daten aber herunterladen. So kann jeder auf den Quellcode zugreifen sowie auf weitere Daten, zum Beispiel hinterlegte Passwörter.

Man muss sich echt fragen ob manche IT Menschen teilweise mit Vorsatz so handeln.

Heise dazu: https://www.heise.de/ct/artikel/Mas...eme-durch-offene-Git-Repositorys-4795181.html

 

[Tzk]

Ein Unternehmen aus der Tourismus-Branche hatte einen Webserver, über den ein Buchungsportal angeboten wurde, entsprechend falsch konfiguriert. Aus dem Quellcode konnten die IT-Spezialisten ein Administrator-Passwort auslesen und so zunächst die Software des Buchungsportals kapern und von dort Zugriff auf das gesamte interne Netzwerk des Unternehmens erlangen - einen Weg, den auch ein Angreifer hätte gehen können.

^ Da frage ich mich eher welcher Horst da programmiert. Warum ist ein AdminPW im Repository hardcoded hinterlegt?!

 

[Yuuri]

Eigentlich sollte all das hinlänglich bekannt sein. Schon 2015 warnte das Projekt Internetwache.org vor derart fehlkonfigurierten Servern. Offenbar hat sich deren Warnung bei vielen deutschen Systemadministratoren noch nicht herumgesprochen.

 

[FrAGgi]

^ Da frage ich mich eher welcher Horst da programmiert. Warum ist ein AdminPW im Repository hardcoded hinterlegt?!

Da hat wohl jemand für eine Datenbankverbindung das selbe PW genutzt wie für einen Admin Account

 

[Ebrithil]

Da hat wohl jemand für eine Datenbankverbindung das selbe PW genutzt wie für einen Admin Account

Die beide nichts im Repo verloren haben. Sowas gehört dynamisch übers env oä zur Laufzeit geladen.

 

[snaxilian]

Hätte wäre sollte und wer sowas deployt hat halt niemanden mit Securityhintergrund oder rudimentären Fähigkeiten drüber gucken lassen weil teuer oder muss ja schnell gehen und wenn man Änderungen so direkt deployt per git pull braucht man ja auch keine Buildpipeline/cicd etc.
Oder es war Auftragsarbeit und Kunde hat es so gewünscht (trotz Warnung) oder der "Webentwickler" meint Security sei nicht seine Aufgabe oder nicht notwendig weil man ja ne Firewall habe, die sowas doch abfängt (leider nein leider gar nicht bzw. nur entsprechend konfigurierte Lösungen die die wenigsten einsetzen oder sinnvoll konfiguriert haben).

Fehlende Fachkompetenz ist das eine, Turbokapitalismus das andere. MVP wird dem Kunden nach 1-2 Sprints gezeigt, deployt und "den Rest machen wir später oder selber..." und selbst wenn: Außer mal 3 Tagen "schlechter Presse" hat es genau welche Konsequenzen für die Unternehmen? Ach ja gar keine solange keine personenbezogenen Daten dabei waren. Falls doch gibt's irgendwann ne Strafe, die Verantwortlichen wussten von nix oder bekommen nen goldenen Handschlag und weil die Strafe das Quartalsergebnis drückt kann man leider dieses Jahr nichtmal nen Inflationsausgleich bei den Gehältern vornehmen, die Aktionäre gehen vor 🤷‍♂️

Natürlich wissen viele glücklicherweise das man dies genau so nicht machen sollte und es ja eigentlich besser lösen könnte aber viele wissen es eben nicht oder es ist ihnen egal weil das aufwendiger und/oder teurer ist.

Positiv sehen: Solange sowas "üblich" ist gehen den guten Leuten aus Dev, Ops und Sec die Jobs nicht aus

 

[Troy McClure]

Fehlende Fachkompetenz ist das eine, Turbokapitalismus das andere. [...] kann man leider dieses Jahr nichtmal nen Inflationsausgleich bei den Gehältern vornehmen, die Aktionäre gehen vor 🤷‍♂️

Shit, dafür muss ich ein Direktzitat machen! Das ist gut geschrieben!