Bis zum 39C3 öffne ich täglich ein Türchen zu den langweiligsten Datenlecks der letzten Jahre. Es geht um .git, .env, exponierte dev-Umgebungen und andere technisch langweilige Ursachen. Aber manchmal ist interessant, was sich hinter einem Türchen verbirgt.
Weiter geht es mit der Partei Die Partei. Die Entwicklungsumgebung eines Webshops für Parteibedarf mit aktiviertem Symfony Profiler war 2022 offen zugänglich.
The profiler is a powerful development tool that gives detailed information about the execution of any request.
Never enable the profiler in production environments as it will lead to major security vulnerabilities in your project.
Über diesen Profiler konnten u.a. Konfigurationsdaten (“mysql://dev:████████@localhost:3306/dev”) sowie personenbezogene Daten von Bestellenden (Name, Adresse, E-Mail-Adresse) abgerufen werden. Die Daten reichten ein Jahr zurück und umfassten augenscheinlich nicht nur Testdaten.