Bis zum 39C3 öffne ich täglich ein Türchen zu den langweiligsten Datenlecks der letzten Jahre. Es geht um .git, .env, exponierte dev-Umgebungen und andere technisch langweilige Ursachen. Aber manchmal ist interessant, was sich hinter einem Türchen verbirgt. Alle Türchen sind hier zu finden.
WhiteBIT ist eine Börse für Kryptowährungen. 2022 betrieb sie ein Elasticsearch offen zugänglich am Internet. Dort lagen ungefähr 250 GB Log-Daten, die auch E-Mail-Adressen, Passwörter, 2FA-Secrets und andere personenbezogene Daten umfassten.
"msg": "*54717273 FastCGI sent in stderr: "
PHP message: [2022 - 05 - 10 16: 23: 58] production.ERROR: An exception occurred
while executing 'INSERT INTO users (name, email, password, █, █, █2fa_secret, █2fa_active, ...) VALUES (?, ..., ?)'
with params["██████", "██████@gmail.com", "$2y$10$██████", 0, null, null, 0, null, null, "2022-05-10 16:23:57", "2022-05-10 16:23:57", "$2y$10$██████"
while reading response header from upstream, client: ██████, server: ██████.whitebit.com, request: "POST /v2/register HTTP/1.1", upstream: "fastcgi://██████", host: "██████.whitebit.com", ..., {
"name": "Subject",
"value": "Password changed"
}, {
"name": "From",
"value": "WhiteBIT Exchange <system@whitebit.com>"
}, {
"name": "To",
"value": "████@gmx.de"
}, {
"name": "Content-Transfer-Encoding",
"value": "quoted-printable"
}], "commonHeaders": {
"from": ["WhiteBIT Exchange <system@whitebit.com>"],
"date": "Thu, 12 May 2022 14:40:01 +0000",
"to": ["████@gmx.de"],
"messageId": "<████@swift.generated>",
"subject": "Password changed"
...