GDPR.EU es un sitio dedicado al asesoramiento de empresas en la aplicación de la GDPR, parcialmente financiado por la UE y operada por Proton Technologies AG, la empresa que hay detrás del servicio de correo electrónico ProtonMail. Recientemente se detectó en la plataforma una vulnerabilidad que permitía la filtración de datos, que ya ha sido resuelta.
El sitio web afectado está diseñado para ayudar a las empresas con la implantación y cumplimiento de la GDPR, conteniendo multitud de consejos útiles para las organizaciones. Sin embargo, no se había tenido en cuenta una vulnerabilidad relativamente antigua relacionada con el sistema de control de versiones y el acceso a la carpeta /.git/ que permitiría la filtración de datos a cualquier intruso.
La vulnerabidad en cuestión es conocida desde hace bastante tiempo y hay disponibles algunas herramientas para identificarla rápidamente, como por ejemplo, la extensión DotGit, que comprueba en tiempo real cuándo está expuesta la carpeta /.git/ de un sitio web que se está visitando.
Una vez se ha detectado una web con esta vulnerabilidad, es trivial copiar el repositorio .git correspondiente, puesto que es accesible para todo el mundo, llegando incluso a ser indexado por los buscadores web.
Con la información contenida en la carpeta /.git/ es sencillo identificar la tecnología y estructura de la web. Por ejemplo, en el caso de dar con una web basada en WordPress, bastaría con localizar el archivo wp-config, donde seguramente se halle la información sensible del sitio, tal como nombres de usuario y contaseñas, entre las que estaría la contraseña de la base de datos MySQL.
En este ejemplo, se trataría de un problema de acceso interno, que no revestiría mayor relevancia a menos que se estuviese cometiendo además el error de reutilizar la contraseña en otros servicios. Situación que desgraciadamente no es excesivamente extraña.
Sin embargo, podría haber otras alternativas para vulnerar el sitio web expuesto, como por ejemplo, el ataque con «Authentication Unique Keys and Salts», que se puede emplear para falsificar las cookies administrativas. De este modo se podría alterar (por ejemplo, con un defacement) y comprometer el sitio web.
En ningún caso resulta prudente exponer la base de datos y otras credenciales de un sitio web. Por lo tanto no es recomendable disponer del mencionado directorio /.git/ en los sitios publicados para evitar exponer datos confidenciales. Y en el caso de encontrarse dicho directorio disponible, es imprescindible revisar cuanto antes los contenidos del mismo para verificar que no había archivos confidenciales que hayan estado disponibles para cualquiera. Como viene siendo habitual ante cualquier filtración de datos, se debe modificar cuanto antes cualquier contraseña contenida en estos archivos, puesto que deben darse como comprometidos.
Proton Technologies AG respondió rápido y solucionó el problema apenas cuatro días después de haber sido reportado el error. Además, notificaron que no se almacenaba información sensible en la web en cuestión, por lo que el fallo no ha trascendido.
Más información:
- https://www.pentestpartners.com/security-blog/gdpr-eu-has-er-a-data-leakage-issue/
- http://www.securitysift.com/understanding-wordpress-auth-cookies/
Deja una respuesta