DSGVO: Proton vergisst Git-Zugang auf Datenschutzwebseite

Die Webseite Gdpr.eu wird von der Firma hinter Protonmail und Protonvpn betrieben und von der EU mitfinanziert.

Artikel veröffentlicht am ,
DSGVO-Webseite mit Git-Leak
DSGVO-Webseite mit Git-Leak (Bild: Pixaline (Pixabay)/Git-Logo: Jason Long (CC BY 3.0)/CC-BY 3.0)

Eine von der EU mitfinanzierte Webseite gibt Tipps rund um den Umgang mit der Datenschutz-Grundverordnung (DSGVO, engl. GDPR) und wie Unternehmen dieser entsprechen können, doch der Schweizer Betreiber Proton Technologies AG hat die Webseite nur unzureichend abgesichert. Die Sicherheitsfirma Pentestpartners entdeckte ein öffentlich abrufbares Git-Verzeichnis auf der Webseite Gdpr.eu, über welche sie den kompletten Code der Webseite einsehen konnte - inklusive der Zugangsdaten zu der MySQL-Datenbank.

Stellenmarkt
  1. IT Projektmanager (w/m/d) internationaler Großkunde im E-Commerce
    Bechtle direct GmbH, Neckarsulm
  2. Research Associate (m/f/d) for Digital Design for Reliable Systems
    IHP GmbH - Institut für innovative Mikroelektronik, Frankfurt an der Oder
Detailsuche

Auf der Webseite Gdpr.eu ist der Hinweis auf die Cofinanzierung durch das Horizon-2020-Rahmenprogramm der EU prominent platziert. Noch prominenter weist ein Overlay darauf hin, dass "DSGVO-Konformität einfacher mit verschlüsselten E-Mails ist" und verlinkt auf den Dienst Protonmail, ein verschlüsselter E-Mail-Dienst des Webseitenbetreibers Proton Technologies AG, der mit Datenschutz und Sicherheit wirbt.

Die Sicherheitsfirma Pentestpartners konnte den kompletten Code der Wordpress-Seite Gdpr.eu über das öffentlich abrufbare Verzeichnis des Versionsverwaltungssystems Git herunterladen. In diesem befand sich auch die Wordpress-Konfigurationsdatei wp-config.php, die neben mehreren Sicherheitsschlüsseln für Wordpress auch die Zugangsdaten zur MySQL-Datenbank enthält. Da es sich jedoch um ein internes System handle, sei es keine triviale Angelegenheit, das System von außen zu kompromittieren, sofern das Passwort nicht an anderer Stelle wiederverwendet würde, schreibt Pentestpartners. "Die Ironie einer EU-finanzierten Website über DSGVO mit Sicherheitsproblemen ist uns nicht entgangen", sagte Pentestpartners dem Onlinemagazin The Register.

Den öffentlich zugänglichen Git-Ordner meldete die Sicherheitsfirma an Proton: "Wir wurden am Freitag, dem 24. April, über das Problem informiert und haben es kurz darauf gefixt. Gdpr.eu wird auf einer unabhängigen Infrastruktur von Drittanbietern gehostet, enthält keine Benutzerdaten und die Informationen im exponierten Git-Ordner konnten nicht für ein Defacement der Webseite verwendet werden, da der Zugriff auf die Datenbank nur intern möglich ist. Nichtsdestotrotz ist dies ein legitimer Fund im Rahmen unseres Bug-Bounty-Programms", erklärte ein Proton-Sprecher The Register.

Golem Akademie
  1. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    24.–25. Januar 2022, virtuell
  2. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    17.–21. Januar 2022, virtuell
Weitere IT-Trainings

Fälle mit exponierten Git-Verzeichnissen werden immer wieder bekannt. 2015 entdeckte der Sicherheitsexperte Jamie Brown Tausende von Webseiten, bei denen man öffentlich übers Web diese Verzeichnisse abrufen konnte. Testen oder scannen lässt sich dies einfach. In jedem .git-Verzeichnis befindet sich eine Datei config. Wenn eine URL der Form http://www.beispiel.de/.git/config abrufbar ist, dann ist das Git-Repository öffentlich zugänglich.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Reddit
IT-Arbeiter automatisiert seinen Job angeblich vollständig

Ein anonymer Entwickler will unbemerkt seinen Job vollständig automatisiert haben. Dem Arbeitgeber sei dies seit einem Jahr nicht aufgefallen.

Reddit: IT-Arbeiter automatisiert seinen Job angeblich vollständig
Artikel
  1. Deutsche Telekom: iPads für mehr als 400.000 Schüler in Rheinland-Pfalz
    Deutsche Telekom
    iPads für mehr als 400.000 Schüler in Rheinland-Pfalz

    Rheinland-Pfalz beschafft iPads für 1.660 Schulen. Die Ausschreibung hat die Deutsche Telekom gewonnen. Auch Notebooks gibt es.

  2. Bundesservice Telekommunikation: Ist eine scheinexistente Behörde für Wikipedia relevant?
    Bundesservice Telekommunikation  
    Ist eine scheinexistente Behörde für Wikipedia relevant?

    Die IT-Sicherheitsexpertin Lilith Wittmann hat eine dubiose Bundesbehörde ohne Budget entdeckt. Reicht das für einen Wikipedia-Artikel?

  3. Elektroauto: VW e-Up ab Mitte Februar wieder bestellbar
    Elektroauto
    VW e-Up ab Mitte Februar wieder bestellbar

    Der e-Up gehörte 2021 zu den meistgekauften Elektroautos. Nun will VW den Kleinwagen wieder verfügbar machen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3080 12GB bei Mindfactory • MindStar (u.a. GTX 1660 6GB 499€) • Sony Kopfhörer&Lautsprecher zu Bestpreisen • RTX 2060 12GB 569€ • Bosch Professional zu Bestpreisen • Luftreiniger ab 159,99€ • WSV bei MediaMarkt • RX 6900 16GB 1.499€ [Werbung]
    •  /