Groźna luka w bezpieczeństwie: Jak dostęp do .git może zrujnować firmę?
Groźna luka w bezpieczeństwie: Jak dostęp do .git może zrujnować firmę?
W listopadzie 2020 roku jeden z czytelników, Paweł, zgłosił nam niepokojącą niezabezpieczoną lukę w sklepie internetowym loveair[.].pl. Problem rozpoczął się od dostępności katalogu .git, co w świecie bezpieczeństwa oznacza poważne zagrożenie.
Jakie konsekwencje niesie ze sobą taka sytuacja? Odpowiedź jest prosta – to zależy. W przypadku Pawła, dostęp do .git umożliwił mu dotarcie do klucza API, który z kolei pozwolił na komunikację z zewnętrznym systemem fakturowo/paragonowym. W rezultacie, potencjalny intruz mógł uzyskać dostęp do wrażliwych danych finansowych firmy.
W kodzie źródłowym, który Paweł odkrył, znajdowały się m.in. takie linie jak:
define('INTEGRATOR_FAKTUROWNIA', 1); define('FAKTUROWNIA_API_KEY', '[fragment wyredagowany]/loveair'); define('FAKTUROWNIA_API_URL', 'http://loveair.fakturownia.pl/');To wszystko pokazuje, jak ważne jest zabezpieczanie danych i unikanie wystawiania ich na publiczny widok. W dobie cyfryzacji, każda luka może skończyć się katastrofą.
Na podstawie: Źródła
