Login
Newsletter
Werbung

Di, 11. September 2018, 13:07

Software::Entwicklung

Git: Tausende Server liefern sensible Daten

Wie einer Untersuchung entnommen werden kann, liefern tausende Server mitunter sehr sensible Daten über nicht korrekt konfigurierte Seiten mit einer Git-Verwaltung. Unbefugte sind dadurch in der Lage, in Git gespeicherte Daten - bis hin zu Passwörtern - zu erspähen.

git-scm.com

Git ist eine Erfolgsgeschichte, die 2005 von Linus Torvalds für die Pflege des Linux-Kernels initiiert wurde und mittlerweile aus der Entwicklung von freier, aber auch kommerzieller Software nicht mehr wegzudenken. So findet sich mittlerweile kaum ein Unternehmen, dass nicht wenigstens eine Nutzung von Git in Betracht gezogen hat. Zunehmend nutzen aber auch Administratoren und Seitenbetreiber Git für die Pflege ihrer Daten und speichern darin Änderungen. Doch, das bringt mitunter auch Gefahren mit sich.

Wie der tschechische Datenanalytiker Vladimír Smitka in seinem Blog schreibt, fand er bei einer durch ihn gestarteten Serie von Tests gleich mehrere hunderttausend Webserver vor, die unzureichend das Verzeichnis .git schützen. Das Verzeichnis wird von Git für die Speicherung von Steuerung und Differenzdaten genutzt, kann aber auch mühelos für die Rekonstruktion von Daten eingesetzt werden. Unbefugte sind so in der Lage, den kompletten Inhalt einer Seite auszuspähen, sofern sie Zugriff auf das Steuerungsverzeichnis erlangen.

Smitka fand binnen weniger Tage fast zweitausend Seiten, die Unbefugten Zugriff auf das Verzeichnis .git gewährten. Nachdem der Entwickler seine Untersuchung ausgeweitet hat, stieg die Zahl weiter rasant an und erreichte fast 400.000 Seiten, die teils sensible Daten innerhalb unplanmäßig verrieten. Alleine die Endung .de lieferte Smitka knapp 9000 offene Git-Verzeichnisse.

Der Entwickler kontaktierte alle Betreiber der Server und wies sie auf die Problematik hin. Die Reaktionen fielen unterschiedlich aus – von Dankes-Emails bis hin zu einer polizeilichen Drohung. Nun will er die Untersuchung in wenigen Wochen wiederholen und testen, ob sein Fingerzeig zu einer Verbesserung führte.

Werbung
Pro-Linux
Traut euch!
Neue Nachrichten
Werbung