Die Git-Stolperfalle: Viele Webseiten geben sensible Daten preis
Wenn Web-Admins beim Hochladen von Projekten nicht aufpassen, stellen sie unter Umständen ohne es mitzubekommen Passwort-Datenbanken und weitere schützenswerte Daten zum Abruf für jedermann bereit.
Viele Web-Entwickler laden im Zuge der Entwicklung oft unwissentlich den .git-Ordner ihres Projektes mit auf den Web-Server und dessen Inhalt ist häufig öffentlich abrufbar. Dort können sich unter anderem Datenbanken mit Passwörtern befinden. Das hat der Sicherheitsberater Jamie Brown bei der Untersuchung von 1,5 Millionen Internetseiten herausgefunden.
In dem .git-Ordner wird die gesamte Historie der Webseiten-Entwicklung abgelegt. Das dient der Versionskontrolle und ist nützlich, wenn man Änderungen rückgängig machen will. Wenn Entwickler eine Webseite lokal bauen und die neue Version auf den Web-Server hochladen, kann es vorkommen, dass der .git-Ordner mit auf dem Server landet. Vor allem, weil solche Verzeichnisse auf Linux-Systemen standardmäßig versteckt sind.
Während seines Tests hat sich Brown vor allem Seiten von Behörden, Medienhäusern, dem Militär und Regierungen angeschaut. Bei 2.420 der 1,5 Millionen untersuchten Webseiten war der .git-Ordner abrufbar und Brown hätte den Inhalt auch herunterladen können.
Passwörter und Kundendaten
Während seiner Recherche stieß er unter anderem auf Zugangsdaten für FTP-Server der Seitenbetreiber und Passwörter für verschiedenen Cloud-Services. Zudem fand er bei verschiedenen Firmen und Organisationen Textdateien mit Kundendaten inklusive deren E-Mail- und Post-Adressen.
Web-Entwickler sollten aufpassen, dass der .git-Ordner in keinem öffentlichen Verzeichnis auf dem Server liegt. Am sichersten ist es natürlich, den Ordner gar nicht erst hochzuladen. Wenn das schon geschehen ist, sollte man ihn vom Server löschen. (des)