• IT-Karriere:
  • Services:

DSGVO: Proton vergisst Git-Zugang auf Datenschutzwebseite

Die Webseite Gdpr.eu wird von der Firma hinter Protonmail und Protonvpn betrieben und von der EU mitfinanziert.

Artikel veröffentlicht am ,
DSGVO-Webseite mit Git-Leak
DSGVO-Webseite mit Git-Leak (Bild: Pixaline (Pixabay)/Git-Logo: Jason Long (CC BY 3.0)/CC-BY 3.0)

Eine von der EU mitfinanzierte Webseite gibt Tipps rund um den Umgang mit der Datenschutz-Grundverordnung (DSGVO, engl. GDPR) und wie Unternehmen dieser entsprechen können, doch der Schweizer Betreiber Proton Technologies AG hat die Webseite nur unzureichend abgesichert. Die Sicherheitsfirma Pentestpartners entdeckte ein öffentlich abrufbares Git-Verzeichnis auf der Webseite Gdpr.eu, über welche sie den kompletten Code der Webseite einsehen konnte - inklusive der Zugangsdaten zu der MySQL-Datenbank.

Stellenmarkt
  1. Stadtwerke Tübingen GmbH, Tübingen
  2. Webasto Group, Planegg bei München

Auf der Webseite Gdpr.eu ist der Hinweis auf die Cofinanzierung durch das Horizon-2020-Rahmenprogramm der EU prominent platziert. Noch prominenter weist ein Overlay darauf hin, dass "DSGVO-Konformität einfacher mit verschlüsselten E-Mails ist" und verlinkt auf den Dienst Protonmail, ein verschlüsselter E-Mail-Dienst des Webseitenbetreibers Proton Technologies AG, der mit Datenschutz und Sicherheit wirbt.

Die Sicherheitsfirma Pentestpartners konnte den kompletten Code der Wordpress-Seite Gdpr.eu über das öffentlich abrufbare Verzeichnis des Versionsverwaltungssystems Git herunterladen. In diesem befand sich auch die Wordpress-Konfigurationsdatei wp-config.php, die neben mehreren Sicherheitsschlüsseln für Wordpress auch die Zugangsdaten zur MySQL-Datenbank enthält. Da es sich jedoch um ein internes System handle, sei es keine triviale Angelegenheit, das System von außen zu kompromittieren, sofern das Passwort nicht an anderer Stelle wiederverwendet würde, schreibt Pentestpartners. "Die Ironie einer EU-finanzierten Website über DSGVO mit Sicherheitsproblemen ist uns nicht entgangen", sagte Pentestpartners dem Onlinemagazin The Register.

Den öffentlich zugänglichen Git-Ordner meldete die Sicherheitsfirma an Proton: "Wir wurden am Freitag, dem 24. April, über das Problem informiert und haben es kurz darauf gefixt. Gdpr.eu wird auf einer unabhängigen Infrastruktur von Drittanbietern gehostet, enthält keine Benutzerdaten und die Informationen im exponierten Git-Ordner konnten nicht für ein Defacement der Webseite verwendet werden, da der Zugriff auf die Datenbank nur intern möglich ist. Nichtsdestotrotz ist dies ein legitimer Fund im Rahmen unseres Bug-Bounty-Programms", erklärte ein Proton-Sprecher The Register.

Fälle mit exponierten Git-Verzeichnissen werden immer wieder bekannt. 2015 entdeckte der Sicherheitsexperte Jamie Brown Tausende von Webseiten, bei denen man öffentlich übers Web diese Verzeichnisse abrufen konnte. Testen oder scannen lässt sich dies einfach. In jedem .git-Verzeichnis befindet sich eine Datei config. Wenn eine URL der Form http://www.beispiel.de/.git/config abrufbar ist, dann ist das Git-Repository öffentlich zugänglich.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zur DSGVO-Bibel bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. 5 Euro am Tag
    Homeoffice-Steuerpauschale geplant
  2. Kaufberatung 2020
    Lohnende Smartphones für höchstens 400 Euro
  3. Medion Erazer Hunter X10
    Aldi Nord bringt Desktop-PC mit Geforce RTX 3080
  4. Tutorial
    Wie elektrifiziere ich eine Tiefgarage?
  5. Apple Silicon im Test
    Was der M1-Chip (nicht) kann
Anzeige
Mobile-Angebote
  1. (u. a. Apple iPhone 11 Pro Max 256GB 6,5 Zoll Super Retina XDR OLED für 929,96€)
  2. (u. a. Find X2 Neo 256GB 6,5 Zoll für 439,99€, Watch 41 mm Smartwatch für 179,99€)
  3. 749€
Kommentarübersicht
Re: .git/config auf golem.de
Schattenwerk 01. Mai 2020

Ich musste lachen... danke für den Beitrag

Re: .git in Webservern blocken
slacki 01. Mai 2020

Ich hoffe das war ironisch ;) Ansonsten: in einer kleinen Frickelbude kann man sowas...

Re: Passwörter in Git
slacki 30. Apr 2020

Dazu braucht es ausgebildete Entwickler. Denn es ist halt viel einfacher, einfach alles...

Folgen Sie uns
       
Xbox Series X - Hands on

Golem.de konnte die Xbox Series X bereits ausprobieren und stellt die Konsole vor. Außerdem zeigen wir, wie Quick Resume funktioniert - und die Ladezeiten.

Xbox Series X - Hands on Video aufrufen
ÖPNV
Futuristische Schwebebahn im Testbetrieb: Verkehrsmittel der Zukunft für die dritte Dimension
Futuristische Schwebebahn im Testbetrieb
Verkehrsmittel der Zukunft für die dritte Dimension

Eine Schwebebahn für die Stadt, die jeden Passagier zum Wunschziel bringt - bequem, grün, ohne Stau und vielleicht sogar kostenlos. Ist das realistisch?
Ein Bericht von Werner Pluta

  1. ÖPNV Infraserv Höchst baut Wasserstofftankstelle für Züge
Astronomie
Astronomie: Arecibo wird abgerissen
Astronomie
Arecibo wird abgerissen

Das weltberühmte Radioteleskop ist nicht mehr zu retten. Reparaturarbeiten wären lebensgefährlich.

  1. Astronomie Zweites Kabel von Arecibo-Radioteleskop kaputt
  2. Die Zukunft des Universums Wie alles endet
  3. Astronomie Gibt es Leben auf der Venus?
Grafikhardware
PC-Hardware: Warum Grafikkarten derzeit schlecht lieferbar sind
PC-Hardware
Warum Grafikkarten derzeit schlecht lieferbar sind

Eine RTX 3000 oder eine RX 6000 zu bekommen, ist schwierig: Eine hohe Nachfrage trifft auf Engpässe - ohne Entspannung in Sicht.
Eine Analyse von Marc Sauter

  1. Instinct MI100 AMDs erster CDNA-Beschleuniger ist extrem schnell
  2. Hardware-accelerated GPU Scheduling Besseres VRAM-Management unter Windows 10
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /