Centinaia di migliaia di siti web a rischio di furto di dati attraverso cartelle Git. I ricercatori del sito di cyber sicurezza Defense.com hanno infatti scoperto che questi non nascondono correttamente una serie di cartelle .git che dovrebbero invece essere nascoste, mettendo a rischio documenti e codice. Tra i siti web a rischio alcune migliaia sono di enti governativi.
Git è un software open source per il controllo di versione distribuito, utilizzabile da interfaccia a riga di comando ed estremamente popolare tra gli sviluppatori di applicazioni e siti web nonché la piattaforma più utilizzata per ospitare progetti Git. GitHub conta oltre 83 milioni di membri.
Ad aprile i responsabili del progetto Git avevano pubblicato un aggiornamento per risolvere due falle di sicurezza che interessavano chi sfrutta macchine multiutente e Git per Windows. L’attuale problema è legato al modo in cui gli utenti usano lo strumento, ossia non seguono le corrette pratiche di sicurezza.
Secondo l’analisi dei ricercatori, queste cartelle risultano esposte a Google e altri motori di ricerca, con il rischio che possano accedervi degli hacker e scaricarne i contenuti. Questi possono includere: l’intera cronologia del codice e delle sue modifiche, le chiavi di sicurezza, i percorsi remoti sensibili e i file con password in chiaro. Inoltre, queste cartelle potrebbero contenere credenziali di database e chiavi API.
Oliver Pinson-Roxburgh, CEO di Defense.com, ha dichiarat: “Sebbene sia vero che alcune cartelle siano state lasciate volutamente accessibili, la stragrande maggioranza non è consapevole della minaccia che sta affrontando”.
https://www.securityinfo.it/2022/08/22/332000-siti-a-rischio-di-attacchi-via-git/
