Специалист по безопасности из Чехии Владимир Смитка обнаружил код более чем 390 тысяч веб-сайтов в доступных извне.git-репозиториях, пишет Softpedia.
Такого рода репозитории могут содержать чувствительную информацию: API-ключи и пароли к базам данным. «Подобные данные не должны находиться в открытом доступе, но в ходе работы я обнаружил, что многие разработчики игнорируют это требование безопасности», — отметил специалист.
Кроме этого, файлы наподобие.git/index содержат информацию о внутренней структуре приложений, которую затем можно использовать для атак.
Поначалу Смитка просканировал чешские и словацкие сайты. Разработчик обнаружил около 3 тысяч проблемных веб-страниц, после чего решил расширить поиски. Собрав массив из 230 млн доменных имён, он исследовал их тем же скриптом и нашёл около 390 тысяч сайтов с открытой папкой в.git.
Программист решил разослать уведомления о проблеме владельцам подверженных угрозе сайтов, и в ответ получил около 2 тысяч писем с благодарностями, 30 сообщений об ошибках, 2 обвинения в спаме и одну угрозу сообщить в канадскую полицию. Кроме этого, он отправил более 300 сообщений с пояснениями после дополнительных вопросов получаетелей писем.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.