Ошибка в открытом исходном коде оставляет сотни тысяч сайтов открытыми для атак
18 августа 2022 г.Сотни тысяч веб-сайтов, в том числе тысячи, использующие домен .gov, подвержены риску Устранение риска
Файлы, содержащиеся в этих папках, обычно содержат всю историю кодовой базы, предыдущие изменения кода, комментарии, ключи безопасности, а также конфиденциальные удаленные пути, содержащие секреты и файлы с паролями в виде простого текста. Помимо очевидной угрозы раскрытия паролей и конфиденциальных данных, есть и скрытая угроза — хакеры могут просмотреть код и найти дополнительные недостатки, которые они, вероятно, не будут исправлять, а вместо этого будут злоупотреблять. Более того, эти папки могут содержать учетные данные базы данных и ключи API, что также дает злоумышленникам доступ к конфиденциальным пользовательским данным. В общей сложности, по данным Defense.com, 332 000 веб-сайтов были признаны потенциально уязвимыми, в том числе 2500 – в домене .gov. «технология с открытым исходным кодом всегда имеет потенциал из-за недостатков безопасности, коренящихся в общедоступном коде. Однако такой уровень уязвимости неприемлем», — прокомментировал Оливер Пинсон-Роксбург, генеральный директор Defense.com. «Организации, в том числе правительство Великобритании, должны следить за своими системами и принимать незамедлительные меры для устранения рисков». Git — чрезвычайно популярная система управления версиями с открытым исходным кодом, насчитывающая более 80 миллионов активных пользователей, — добавляет Пинсон-Роксбург. Уязвимость такого типа на такой популярной платформе может иметь «серьезные последствия» для пострадавших фирм. «Несмотря на то, что некоторые папки были намеренно оставлены доступными, подавляющее большинство не будет знать об угрозе, с которой они сталкиваются», — заключил он.
Оригинал