После просмотра больше чем 230 миллионов областей чешский исследователь безопасности Lynt Services Владимир Смитка нашел больше чем 390 000 веб-сайтов с исходным кодом .git хранилищами выставленный сети.

Хотя общедоступные хранилища мерзавца не неслыханны со многими из них, чтобы быть найденными на платформах разработки программного обеспечения онлайн, таких как GitHub, разделять частное хранилище публично в сети не является очень хорошей идеей.

Разработчики и администраторы веб-сайта должны принять во внимание то, что производство .git хранилище могло бы содержать конфиденциальные данные, такие как частные ключи API и пароли базы данных.

Смитка говорит в своем отчете, что «эти данные не должны храниться в хранилище, но в предыдущих просмотрах различных вопросов безопасности, я нашел многих разработчиков, которые не применяют эти лучшие методы».

Кроме того, repo файлы, такие как .git/index может использоваться, чтобы собрать информацию относительно внутренней структуры приложения, с конечными точками и внутренней структурой приложения, являющейся первыми, которые приходят на ум.

С нескольких тысяч уязвимых местных веб-сайтов, до сотен тысяч в глобальном масштабе

Smitka сначала начался в намного меньшем масштабе, просмотрев чешские и словацкие веб-сайты. Результаты, 1 925 чешских мест и 931 открытый сайт мерзавца из Словакии, заставили его думать, что проблема более серьезна, чем он ранее думал.

Следующий шаг должен был собрать крупный список 230 миллионов областей и просмотреть, он, используя тот же сценарий раньше прилагается неправильно сконфигурированные серверы к чешским и словацким веб-сайтам.

После четырех недель Smitka нашел удивительные 390.000 веб-сайтами с выставленной .git папкой и решил связаться с разработчиками позади каждого места, чтобы сообщить им его открытия и предоставить консультацию смягчения.

«После отправки электронных писем я обменял приблизительно 300 дополнительных сообщений с затронутыми сторонами, чтобы разъяснить проблему», заявляет исследователь в своей истории. «Я получил почти 2 000 электронных писем слов благодарности, 30 ложных положительных сторон, 2 обвинения доносчика/спаммера и 1 угрозу вызвать канадскую полицию».