ComputerBase Menü
Aktuelles

Zehntausende Git Repos Öffentlich

A

abcddcba

Rear Admiral
Registriert
Juni 2018
Beiträge
5.212
Hallo.

Keine Ahnung ob es hier her passt und wird wahrscheinlich eh zeitnah gelöscht, aber evtl. interessiert es ja doch den einen oder anderen, einige werden es aber sicher schonb gelesen haben. (und sorry falls es dir News hier auf CB doch schon gab, hab jetzt nix gefunden)

Ich bin mal so frei und zitiere (Quelle)
Zehntausende Internetseiten in Deutschland sind unzureichend vor Angriffen geschützt. Das zeigen Recherchen des NDR zusammen mit dem Computermagazin "c't" und der Wochenzeitung "Die Zeit". Demnach sind bei den Seiten Teile des dahinter stehenden Programmcodes zugänglich, die nicht für die Öffentlichkeit bestimmt sind. So können Angreifer in einzelnen Fällen Zugriff auf Passwörter und sensible Daten erlangen. Betroffen sind Mittelständler ebenso wie Großkonzerne und privat betriebene Webseiten.
Zum Vergrößern anklicken....

Die Reporterinnen und Reporter haben die Ergebnisse der Sicherheitsfirma in Stichproben überprüft. In über 250 Fällen lässt die Adresse der Webseite den Schluss zu, dass es sich um Unternehmen aus dem medizinischen Bereich, beispielsweise Kliniken, handelt. Auch zahlreiche Banken und Finanzdienstleister betreiben derart falsch konfigurierte Webseiten. Ein Teil der Webseiten wirkt indes veraltet und wird offenbar nicht aktiv genutzt.
Zum Vergrößern anklicken....

Bei der Sicherheitslücke handelt es sich konkret um eine fehlerhafte Ordner-Freigabe. Sie ist in weit verbreiteten Programmen für Webserver standardmäßig aktiviert und erlaubt den Zugriff auf sogenannte Git-Repositories ...
Zum Vergrößern anklicken....

Diese Änderungen - und damit die zugrundeliegende Programmierung einer Webseite - sollte ein Nutzer in der Regel nicht einsehen können. Durch die fehlerhafte Freigabe lassen sich die Daten aber herunterladen. So kann jeder auf den Quellcode zugreifen sowie auf weitere Daten, zum Beispiel hinterlegte Passwörter.
Zum Vergrößern anklicken....


Man muss sich echt fragen ob manche IT Menschen teilweise mit Vorsatz so handeln.

Heise dazu: https://www.heise.de/ct/artikel/Mas...eme-durch-offene-Git-Repositorys-4795181.html
 
  • Gefällt mir
Reaktionen: Kazuja
Ein Unternehmen aus der Tourismus-Branche hatte einen Webserver, über den ein Buchungsportal angeboten wurde, entsprechend falsch konfiguriert. Aus dem Quellcode konnten die IT-Spezialisten ein Administrator-Passwort auslesen und so zunächst die Software des Buchungsportals kapern und von dort Zugriff auf das gesamte interne Netzwerk des Unternehmens erlangen - einen Weg, den auch ein Angreifer hätte gehen können.
Zum Vergrößern anklicken....

^ Da frage ich mich eher welcher Horst da programmiert. Warum ist ein AdminPW im Repository hardcoded hinterlegt?!
 
  • Gefällt mir
Reaktionen: Hayda Ministral, CMDCake und Asghan
https://www.heise.de/ct/artikel/Massive-Sicherheitsprobleme-durch-offene-Git-Repositorys-4795181.html schrieb:
Eigentlich sollte all das hinlänglich bekannt sein. Schon 2015 warnte das Projekt Internetwache.org vor derart fehlkonfigurierten Servern. Offenbar hat sich deren Warnung bei vielen deutschen Systemadministratoren noch nicht herumgesprochen.
Zum Vergrößern anklicken....
 
  • Gefällt mir
Reaktionen: Lars02 und Asghan
Tzk schrieb:
^ Da frage ich mich eher welcher Horst da programmiert. Warum ist ein AdminPW im Repository hardcoded hinterlegt?!
Zum Vergrößern anklicken....
Da hat wohl jemand für eine Datenbankverbindung das selbe PW genutzt wie für einen Admin Account :p
 
FrAGgi schrieb:
Da hat wohl jemand für eine Datenbankverbindung das selbe PW genutzt wie für einen Admin Account :p
Zum Vergrößern anklicken....
Die beide nichts im Repo verloren haben. Sowas gehört dynamisch übers env oä zur Laufzeit geladen.
 
  • Gefällt mir
Reaktionen: Hayda Ministral
Hätte wäre sollte und wer sowas deployt hat halt niemanden mit Securityhintergrund oder rudimentären Fähigkeiten drüber gucken lassen weil teuer oder muss ja schnell gehen und wenn man Änderungen so direkt deployt per git pull braucht man ja auch keine Buildpipeline/cicd etc.
Oder es war Auftragsarbeit und Kunde hat es so gewünscht (trotz Warnung) oder der "Webentwickler" meint Security sei nicht seine Aufgabe oder nicht notwendig weil man ja ne Firewall habe, die sowas doch abfängt (leider nein leider gar nicht bzw. nur entsprechend konfigurierte Lösungen die die wenigsten einsetzen oder sinnvoll konfiguriert haben).

Fehlende Fachkompetenz ist das eine, Turbokapitalismus das andere. MVP wird dem Kunden nach 1-2 Sprints gezeigt, deployt und "den Rest machen wir später oder selber..." und selbst wenn: Außer mal 3 Tagen "schlechter Presse" hat es genau welche Konsequenzen für die Unternehmen? Ach ja gar keine solange keine personenbezogenen Daten dabei waren. Falls doch gibt's irgendwann ne Strafe, die Verantwortlichen wussten von nix oder bekommen nen goldenen Handschlag und weil die Strafe das Quartalsergebnis drückt kann man leider dieses Jahr nichtmal nen Inflationsausgleich bei den Gehältern vornehmen, die Aktionäre gehen vor 🤷‍♂️

Natürlich wissen viele glücklicherweise das man dies genau so nicht machen sollte und es ja eigentlich besser lösen könnte aber viele wissen es eben nicht oder es ist ihnen egal weil das aufwendiger und/oder teurer ist.

Positiv sehen: Solange sowas "üblich" ist gehen den guten Leuten aus Dev, Ops und Sec die Jobs nicht aus :D
 
snaxilian schrieb:
Fehlende Fachkompetenz ist das eine, Turbokapitalismus das andere. [...] kann man leider dieses Jahr nichtmal nen Inflationsausgleich bei den Gehältern vornehmen, die Aktionäre gehen vor 🤷‍♂️
Zum Vergrößern anklicken....

Shit, dafür muss ich ein Direktzitat machen! Das ist gut geschrieben!
 
  • Gefällt mir
Reaktionen: snaxilian
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

BmwM3Michi
Geheime Inhalte von Millionen Webseiten durch Cloudflare öffentlich!
Antworten
3
Aufrufe
1.902
BmwM3Michi
BmwM3Michi
Boogeyman
Leserartikel Windows Rechner sicher einrichten und wichtige Verhaltensregeln
2 3 4
Antworten
69
Aufrufe
158.475
Boogeyman
Boogeyman
D
WOW : echt oder gefälschte email?
Antworten
13
Aufrufe
3.681
Elbrathil
E
D
Angeblicher Virusversand; Mail von abuse@t-online.de
Antworten
11
Aufrufe
35.847
gph
G
Cr1mson
Datenmissbrauch - Email von WISO (ZDF)
Antworten
7
Aufrufe
6.361
vulgo
V
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz