DSGVO: Proton vergisst Git-Zugang auf Datenschutzwebseite

Die Webseite Gdpr.eu wird von der Firma hinter Protonmail und Protonvpn betrieben und von der EU mitfinanziert.

Artikel veröffentlicht am ,
DSGVO-Webseite mit Git-Leak
DSGVO-Webseite mit Git-Leak (Bild: Pixaline (Pixabay)/Git-Logo: Jason Long (CC BY 3.0)/CC-BY 3.0)

Eine von der EU mitfinanzierte Webseite gibt Tipps rund um den Umgang mit der Datenschutz-Grundverordnung (DSGVO, engl. GDPR) und wie Unternehmen dieser entsprechen können, doch der Schweizer Betreiber Proton Technologies AG hat die Webseite nur unzureichend abgesichert. Die Sicherheitsfirma Pentestpartners entdeckte ein öffentlich abrufbares Git-Verzeichnis auf der Webseite Gdpr.eu, über welche sie den kompletten Code der Webseite einsehen konnte - inklusive der Zugangsdaten zu der MySQL-Datenbank.

Auf der Webseite Gdpr.eu ist der Hinweis auf die Cofinanzierung durch das Horizon-2020-Rahmenprogramm der EU prominent platziert. Noch prominenter weist ein Overlay darauf hin, dass "DSGVO-Konformität einfacher mit verschlüsselten E-Mails ist" und verlinkt auf den Dienst Protonmail, ein verschlüsselter E-Mail-Dienst des Webseitenbetreibers Proton Technologies AG, der mit Datenschutz und Sicherheit wirbt.

Die Sicherheitsfirma Pentestpartners konnte den kompletten Code der Wordpress-Seite Gdpr.eu über das öffentlich abrufbare Verzeichnis des Versionsverwaltungssystems Git herunterladen. In diesem befand sich auch die Wordpress-Konfigurationsdatei wp-config.php, die neben mehreren Sicherheitsschlüsseln für Wordpress auch die Zugangsdaten zur MySQL-Datenbank enthält. Da es sich jedoch um ein internes System handle, sei es keine triviale Angelegenheit, das System von außen zu kompromittieren, sofern das Passwort nicht an anderer Stelle wiederverwendet würde, schreibt Pentestpartners. "Die Ironie einer EU-finanzierten Website über DSGVO mit Sicherheitsproblemen ist uns nicht entgangen", sagte Pentestpartners dem Onlinemagazin The Register.

Den öffentlich zugänglichen Git-Ordner meldete die Sicherheitsfirma an Proton: "Wir wurden am Freitag, dem 24. April, über das Problem informiert und haben es kurz darauf gefixt. Gdpr.eu wird auf einer unabhängigen Infrastruktur von Drittanbietern gehostet, enthält keine Benutzerdaten und die Informationen im exponierten Git-Ordner konnten nicht für ein Defacement der Webseite verwendet werden, da der Zugriff auf die Datenbank nur intern möglich ist. Nichtsdestotrotz ist dies ein legitimer Fund im Rahmen unseres Bug-Bounty-Programms", erklärte ein Proton-Sprecher The Register.

Fälle mit exponierten Git-Verzeichnissen werden immer wieder bekannt. 2015 entdeckte der Sicherheitsexperte Jamie Brown Tausende von Webseiten, bei denen man öffentlich übers Web diese Verzeichnisse abrufen konnte. Testen oder scannen lässt sich dies einfach. In jedem .git-Verzeichnis befindet sich eine Datei config. Wenn eine URL der Form http://www.beispiel.de/.git/config abrufbar ist, dann ist das Git-Repository öffentlich zugänglich.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
OpenDMARC
Aktiv ausgenutzte DMARC-Sicherheitslücke ohne Fix
artikel-bild
Bug
Kein durchgängiges VPN unter iOS
artikel-bild
Datenverkauf
Avast überwacht den Browser und verkauft Nutzerdaten
Meistgelesen
artikel-bild
Updates für GPT-3 und GPT-4
GPT im Geschwindigkeitsrausch
artikel-bild
Star Wars
Holiday Special jetzt in 4K mit 60 fps
artikel-bild
Donald E. Knuth
30 Jahre Weihnachtsvorlesungen frei verfügbar
Kommentarübersicht
Re: .git/config auf golem.de
Schattenwerk 01. Mai 2020

Ich musste lachen... danke für den Beitrag

Re: .git in Webservern blocken
slacki 01. Mai 2020

Ich hoffe das war ironisch ;) Ansonsten: in einer kleinen Frickelbude kann man sowas...

Re: Passwörter in Git
slacki 30. Apr 2020

Dazu braucht es ausgebildete Entwickler. Denn es ist halt viel einfacher, einfach alles...

Aktuell auf der Startseite von Golem.de
Updates für GPT-3 und GPT-4
GPT im Geschwindigkeitsrausch

OpenAIs Updates für GPT-4 und GPT-3 machen die Modelle zuverlässiger, vor allem aber anpassungsfähiger. Die Änderungen und neuen Features im Detail.
Von Fabian Deitelhoff

Updates für GPT-3 und GPT-4: GPT im Geschwindigkeitsrausch
Artikel
  1. Candy Crushed: Royal Match wird profitabelstes Mobile Game
    Candy Crushed
    Royal Match wird profitabelstes Mobile Game

    Die langanhaltende Dominanz von Candy Crush Saga ist vorbei. Das meiste Geld verdient jetzt ein Start-up aus Istanbul mit einem Puzzlespiel.

  2. Datenschutz: ChatGPT-Exploit findet E-Mail-Adressen von Times-Reportern
    Datenschutz
    ChatGPT-Exploit findet E-Mail-Adressen von Times-Reportern

    Eigentlich sollte der Chatbot auf diese Anfrage gar nicht antworten. Tut er es dennoch, lauern womöglich noch viel brisantere Informationen.

  3. Donald E. Knuth: 30 Jahre Weihnachtsvorlesungen frei verfügbar
    Donald E. Knuth
    30 Jahre Weihnachtsvorlesungen frei verfügbar

    Ein bisschen theoretische Informatik, Algorithmen oder Mathematik zu Weihnachten? Wer das mag, kann nun sogar alle Vorlesungen hintereinander ansehen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • TeamGroup Cardea Graphene A440 2 TB mit zwei Kühlkörpern 112,89€ • Logitech G915 TKL LIGHTSYNC RGB 125,11€ • AVM FRITZ!Repeater 3000 AX 129€ • Philips Ambilight 77OLED808 2.599€ • MindStar: Patriot Viper VENOM 64 GB DDR5-6000 159€, XFX RX 7900 XT Speedster MERC 310 Black 789€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /