Порядка 400 тыс. сайтов уязвимы к взлому из-за открытого репозитория .git

Чешский эксперт по безопасности Владимир Смитка (Vladimír Smitka) призвал операторов web-сайтов проверить, каким образом настроены их ресурсы, особенно если они используют систему .git для развертывания и управления порталом.

Недавно специалист провел сканирование 230 млн различных сайтов по всему миру и нашел 390 тыс. страниц с открытым каталогом .git.

По словам эксперта, несанкционированные лица могут получить доступ к файлам с информацией о структуре web-сайта, а также к конфиденциальным данным, таким как пароли базы данных, ключи API и пр. Злоумышленник может воспользоваться доступом для постепенного восстановления репозитория .git либо выявления потенциальных уязвимостей на основе данных об используемых библиотеках. На некоторых открытых сайтах специалист обнаружил пароли от баз данных и неавторизованные загрузчики.

Исследователь уведомил часть владельцев сайтов и, по его словам, на многих ресурсах данная проблема уже исправлена.

Источник: https://www.securitylab.ru/news/495473.php