DSGVO: Proton vergisst Git-Zugang auf Datenschutzwebseite

Eine von der EU mitfinanzierte Webseite gibt Tipps rund um den Umgang mit der Datenschutz-Grundverordnung (DSGVO, engl. GDPR) und wie Unternehmen dieser entsprechen können, doch der Schweizer Betreiber Proton Technologies AG hat die Webseite nur unzureichend abgesichert. Die Sicherheitsfirma Pentestpartners entdeckte ein öffentlich abrufbares Git-Verzeichnis auf der Webseite Gdpr.eu, über welche sie den kompletten Code der Webseite einsehen konnte - inklusive der Zugangsdaten zu der MySQL-Datenbank.

Stellenmarkt

1. THD - Technische Hochschule Deggendorf, Freyung
2. comuny GmbH, Weinheim

Auf der Webseite Gdpr.eu ist der Hinweis auf die Cofinanzierung durch das Horizon-2020-Rahmenprogramm der EU prominent platziert. Noch prominenter weist ein Overlay darauf hin, dass "DSGVO-Konformität einfacher mit verschlüsselten E-Mails ist" und verlinkt auf den Dienst Protonmail, ein verschlüsselter E-Mail-Dienst des Webseitenbetreibers Proton Technologies AG, der mit Datenschutz und Sicherheit wirbt.

Die Sicherheitsfirma Pentestpartners konnte den kompletten Code der Wordpress-Seite Gdpr.eu über das öffentlich abrufbare Verzeichnis des Versionsverwaltungssystems Git herunterladen. In diesem befand sich auch die Wordpress-Konfigurationsdatei wp-config.php, die neben mehreren Sicherheitsschlüsseln für Wordpress auch die Zugangsdaten zur MySQL-Datenbank enthält. Da es sich jedoch um ein internes System handle, sei es keine triviale Angelegenheit, das System von außen zu kompromittieren, sofern das Passwort nicht an anderer Stelle wiederverwendet würde, schreibt Pentestpartners. "Die Ironie einer EU-finanzierten Website über DSGVO mit Sicherheitsproblemen ist uns nicht entgangen", sagte Pentestpartners dem Onlinemagazin The Register.

Den öffentlich zugänglichen Git-Ordner meldete die Sicherheitsfirma an Proton: "Wir wurden am Freitag, dem 24. April, über das Problem informiert und haben es kurz darauf gefixt. Gdpr.eu wird auf einer unabhängigen Infrastruktur von Drittanbietern gehostet, enthält keine Benutzerdaten und die Informationen im exponierten Git-Ordner konnten nicht für ein Defacement der Webseite verwendet werden, da der Zugriff auf die Datenbank nur intern möglich ist. Nichtsdestotrotz ist dies ein legitimer Fund im Rahmen unseres Bug-Bounty-Programms", erklärte ein Proton-Sprecher The Register.

Fälle mit exponierten Git-Verzeichnissen werden immer wieder bekannt. 2015 entdeckte der Sicherheitsexperte Jamie Brown Tausende von Webseiten, bei denen man öffentlich übers Web diese Verzeichnisse abrufen konnte. Testen oder scannen lässt sich dies einfach. In jedem .git-Verzeichnis befindet sich eine Datei config. Wenn eine URL der Form http://www.beispiel.de/.git/config abrufbar ist, dann ist das Git-Repository öffentlich zugänglich.