1/600 Websites έχει εκτεθειμένο τον .git folder – Ελέγξτε το αμέσως!

1/600 Websites έχει εκτεθειμένο τον .git folder – Ελέγξτε το αμέσως! – Απροστάτευτοι .git folders μπορούν να διαρρεύσουν ευαίσθητες πληροφορίες.

Ο Jamie Brown, developer και συνιδρητής του Βρετανο-Κινεζικής startup Chicmi, έχει δημοσιεύσει ένα ενδιαφέρον blog post στο οποίο περιγράφει πως αξιοσέβαστα websites έχουν ανοιχτά τα περιεχόμενα του .git folder τους.

Εάν δεν είστε εξοικειωμένοι με το Git, είναι μια τεχνολογία που έγινε developed από τον  Linus Torvalds, τον δημιουργό των Linux, και δημιουργήθηκε με σκοπό να παρακολουθεί τις αλλαγές και τις μετατροπές του κώδικα στο Linux kernel.

Η τεχνολογία μετρά ήδη 10 χρόνια ζωής και είναι ευρέως υιοθετημένη από τους Web, desktop, και τους  mobile developers χάρις στην ευκολία της χρήσης του και της επιτυχίας στο GitHub.

Για βοήθεια να κάνετε track τις αλλαγές του κώδικα, το Git δημιουργεί έναν κρυμμένο φάκελο με το όνομα “.git,” ο οποίος μπορεί να περιλαμβάνει μια ευρεία γκάμα πληροφοριών. Μπορεί να περιλαμβάνει τα βασικά code commits για το Git repo αλλά επίσης και να περιέχει πληροφορίες αποθηκευμένες μέσα στο repo, όπως τα FTP credentials, τα API keys, τα database logins, και άλλες ευαίσθητες πληροφορίες.

Οι προγραμματιστές που γνωρίζουν αυτή την λεπτομέρεια συνήθως προστατεύουν τον .git folder τους, τον οποίο ποτέ δεν αφήνουν online διαθέσιμο, αλλά ακόμη και αν το κάνουν, συνήθως τον προστατεύουν από την δημόσια προσπέλαση σε αυτόν.

Το  0.16% του Internet διαθέτει σε λίστα τον .git folder

Η έρευνα του κύριου Brown για αυτό το θέμα αποκαλύπτει πως, ανάμεσα σε 1.5 εκατομμύριο sites που σκάναρε, τα 2,402 από αυτά είχαν τον  .git folder τους εκτεθειμένο. Μερικά από αυτά τα sites είναι αρκετά αξιόπιστα και αξιοσέβαστα, συμπεριλαμβανομένων μεγάλων ειδησεογραφικών sites όπως τα BBC, The Guardian, και διάφορα websites κυβερνητικά και ιστοσελίδες εκπαιδευτικών ιδρυμάτων.

Ενώ ένα μέρος του περιεχομένου που βρέθηκε μέσα τους είναι ακίνδυνο, μερικά από αυτά επίσης περιλαμβάνουν μερικές ανησυχητικές λεπτομέρειες.

Εάν δουλεύετε με Git, το πρώτο πράγμα που πρέπει να ελέγξετε είναι εάν είστε ευπαθείς σε αυτό το πρόβλημα, επισκεφθείτε το http://www.yourdomain.com/.git/

Εάν ο browser σας δημιουργήσει μια λίστα με το περιεχόμενο του φακέλου σας, τότε θα χρειασθεί αμέσως να δημιουργήσετε ένα .htaccess αρχείο μέσα του και να αποτρέψετε τους χρήστες από το να το βλέπουν.

Αφού σιγουρευθείτε ότι κανένας άλλος δεν μπορεί να το δει, μπορείτε να περιηγηθείτε στο περιεχόμενό του και να δείτε εάν ευαίσθητα δεδομένα εκτέθηκαν στο παρελθόν.

Εάν ναι, το πιο σημαντικό βήμα είναι να αλλάξετε όλα τα εκτεθειμένα credentials και πρέπει να το κάνετε αμέσως.