Порядка 400 тыс. сайтов уязвимы к взлому из-за открытого репозитория .git

[душман]

Чешский эксперт по безопасности Владимир Смитка призвал операторов web-сайтов проверить, каким образом настроены их ресурсы, особенно если они используют систему .git для развертывания и управления порталом.

Недавно специалист провел сканирование 230 млн различных сайтов по всему миру и нашел 390 тыс. страниц с открытым каталогом .git.

По словам эксперта, несанкционированные лица могут получить доступ к файлам с информацией о структуре web-сайта, а также к конфиденциальным данным, таким как пароли базы данных, ключи API и пр.

Злоумышленник может воспользоваться доступом для постепенного восстановления репозитория .git либо выявления потенциальных уязвимостей на основе данных об используемых библиотеках. На некоторых открытых сайтах специалист обнаружил пароли от баз данных и неавторизованные загрузчики.

Исследователь уведомил часть владельцев сайтов и, по его словам, на многих ресурсах данная проблема уже исправлена.