DSGVO: Proton vergisst Git-Zugang auf Datenschutzwebseite

Die Webseite Gdpr.eu wird von der Firma hinter Protonmail und Protonvpn betrieben und von der EU mitfinanziert.

Artikel veröffentlicht am ,
DSGVO-Webseite mit Git-Leak
DSGVO-Webseite mit Git-Leak (Bild: Pixaline (Pixabay)/Git-Logo: Jason Long (CC BY 3.0)/CC-BY 3.0)

Eine von der EU mitfinanzierte Webseite gibt Tipps rund um den Umgang mit der Datenschutz-Grundverordnung (DSGVO, engl. GDPR) und wie Unternehmen dieser entsprechen können, doch der Schweizer Betreiber Proton Technologies AG hat die Webseite nur unzureichend abgesichert. Die Sicherheitsfirma Pentestpartners entdeckte ein öffentlich abrufbares Git-Verzeichnis auf der Webseite Gdpr.eu, über welche sie den kompletten Code der Webseite einsehen konnte - inklusive der Zugangsdaten zu der MySQL-Datenbank.

Stellenmarkt
  1. Leitung IT-Infrastruktur und Basisdienste / Rechenzentrum (d/m/w)
    THD - Technische Hochschule Deggendorf, Deggendorf
  2. IT Systemadministrator (m/w/d)
    Franz Mensch GmbH, Buchloe
Detailsuche

Auf der Webseite Gdpr.eu ist der Hinweis auf die Cofinanzierung durch das Horizon-2020-Rahmenprogramm der EU prominent platziert. Noch prominenter weist ein Overlay darauf hin, dass "DSGVO-Konformität einfacher mit verschlüsselten E-Mails ist" und verlinkt auf den Dienst Protonmail, ein verschlüsselter E-Mail-Dienst des Webseitenbetreibers Proton Technologies AG, der mit Datenschutz und Sicherheit wirbt.

Die Sicherheitsfirma Pentestpartners konnte den kompletten Code der Wordpress-Seite Gdpr.eu über das öffentlich abrufbare Verzeichnis des Versionsverwaltungssystems Git herunterladen. In diesem befand sich auch die Wordpress-Konfigurationsdatei wp-config.php, die neben mehreren Sicherheitsschlüsseln für Wordpress auch die Zugangsdaten zur MySQL-Datenbank enthält. Da es sich jedoch um ein internes System handle, sei es keine triviale Angelegenheit, das System von außen zu kompromittieren, sofern das Passwort nicht an anderer Stelle wiederverwendet würde, schreibt Pentestpartners. "Die Ironie einer EU-finanzierten Website über DSGVO mit Sicherheitsproblemen ist uns nicht entgangen", sagte Pentestpartners dem Onlinemagazin The Register.

Den öffentlich zugänglichen Git-Ordner meldete die Sicherheitsfirma an Proton: "Wir wurden am Freitag, dem 24. April, über das Problem informiert und haben es kurz darauf gefixt. Gdpr.eu wird auf einer unabhängigen Infrastruktur von Drittanbietern gehostet, enthält keine Benutzerdaten und die Informationen im exponierten Git-Ordner konnten nicht für ein Defacement der Webseite verwendet werden, da der Zugriff auf die Datenbank nur intern möglich ist. Nichtsdestotrotz ist dies ein legitimer Fund im Rahmen unseres Bug-Bounty-Programms", erklärte ein Proton-Sprecher The Register.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Fälle mit exponierten Git-Verzeichnissen werden immer wieder bekannt. 2015 entdeckte der Sicherheitsexperte Jamie Brown Tausende von Webseiten, bei denen man öffentlich übers Web diese Verzeichnisse abrufen konnte. Testen oder scannen lässt sich dies einfach. In jedem .git-Verzeichnis befindet sich eine Datei config. Wenn eine URL der Form http://www.beispiel.de/.git/config abrufbar ist, dann ist das Git-Repository öffentlich zugänglich.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Raumfahrt
Astra startet mit großen Ambitionen Billigraketen in Alaska

Mit 250.000 US-Dollar sollen die Raketen von Astra zum Preis eines Sportwagens hergestellt werden können. Wie will die Firma das schaffen?
Von Frank Wunderlich-Pfeiffer

Raumfahrt: Astra startet mit großen Ambitionen Billigraketen in Alaska
Artikel
  1. Ubisoft: Avatar statt Assassin's Creed
    Ubisoft
    Avatar statt Assassin's Creed

    E3 2021 Als wichtigste Neuheit hat Ubisoft ein Spiel auf Basis von Avatar vorgestellt - und Assassin's Creed muss mit Valhalla in die Verlängerung.

  2. Fifa, Battlefield und Co.: Der EA-Hack startete mit Cookies für 10 US-Dollar
    Fifa, Battlefield und Co.
    Der EA-Hack startete mit Cookies für 10 US-Dollar

    Die Hacking-Gruppe erklärt dem Magazin Motherboard Schritt für Schritt, wie der Hack auf EA gelang. Die primäre Fehlerquelle: der Mensch.

  3. Onlinetickets: 17-Jähriger betrügt Bahn um 270.000 Euro
    Onlinetickets
    17-Jähriger betrügt Bahn um 270.000 Euro

    Mit illegal erworbenen Onlinetickets soll ein 17-Jähriger die Bahn um 270.000 Euro geprellt haben. Entdeckt wurde er nur durch Zufall.

Schattenwerk 01. Mai 2020

Ich musste lachen... danke für den Beitrag

slacki 01. Mai 2020

Ich hoffe das war ironisch ;) Ansonsten: in einer kleinen Frickelbude kann man sowas...

slacki 30. Apr 2020

Dazu braucht es ausgebildete Entwickler. Denn es ist halt viel einfacher, einfach alles...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Alternate (u. a. MSI Optix 27" WQHD/165 Hz 315,99€ und Fractal Design Vector RS Blackout Dark TG 116,89€) • Fractal Design Define S2 Black 99,90€ • Intel i9-11900 379€ • EPOS Sennheiser GSP 600 149€ • Amazon: PC-Spiele reduziert (u. a. C&C: Remastered Collection 9,99€) [Werbung]
    •  /