Об этом стало известно благодаря исследовательской группе издания Cybernews.
https://www.securitylab.ru/upload/ib...90n8gvbz95.png
Почти два миллиона папок .git, содержащих важнейшую информацию о проектах, находятся в открытом доступе, сообщила исследовательская группа Cybernews. Эти папки содержат ценную для хакеров информацию: адреса удаленных репозиториев, журналы фиксации и другие важные метаданные. Если оставить эти данные в открытом доступе, это может привести к взлому системы.
Например, другое недавнее исследование команды Cybernews показало, что CarbonTV, американская служба потокового вещания, оставила сервер с исходным кодом открытым, что поставило под угрозу безопасность пользователей и репутацию компании. Утечка исходного кода произошла из-за слабого контроля доступа к папке .git.
Несмотря на важность этой информации, последнее исследование протокола IPv4 и портов 80 и 443 показало, что о ней не всегда заботятся должным образом., в частности, наиболее распространенных портов веб-служб 80 и 443, показало, что о ней не всегда заботятся должным образом.
Исследователи обнаружили 1 931 148 IP-адресов с действующими серверами, у которых папки .git находились в открытом доступе.
Более 31% всех папок в публичном доступе принадлежат разработчикам из США, следом за ними идет Китай (8%) и Германия (6,5%).
https://www.securitylab.ru/upload/im...t-img(621).png
Копнув немного глубже, исследователи обнаружили, что около 6,3% публично доступных файлов конфигурации .git содержат в себе учетные данные.
https://www.securitylab.ru/upload/im...t-img(622).png
На скриншоте выше показан файл .git/config с учетными данными. Такие файлы могут быть использованы злоумышленниками для просмотра/доступа/выгрузки/загрузки файлов, что полностью развязывает хакерам руки.
Эксперт Cybernews Мартинас Варейкис рекомендует разработчикам использовать файл .gitignore для сокрытия конфиденциальных данных при фиксации изменений в проекте на GitHub, а также озаботиться защитой доступа к публичным веб-серверам по IP-адресу.