Bis zum 39C3 öffne ich täglich ein Türchen zu den langweiligsten Datenlecks der letzten Jahre. Es geht um .git, .env, exponierte dev-Umgebungen und andere technisch langweilige Ursachen. Aber manchmal ist interessant, was sich hinter einem Türchen verbirgt.
Es geht los mit der Ferrari Academy. Betroffen waren 2022 nicht besonders viele Menschen. Dafür gab es .git und .env mit Zugangsdaten, eine exponierte dev-Umgebung sowie directory listings und herunterladbare Backups von php-Dateien.
- Unter https://academy.ferrari.com/ waren directory listings aktiviert. So konnte u.a. unter https://academy.ferrari.com/<redacted>/HubSync/users.csv eine csv-Datei mit personenbezogenen Daten (u.a. Ausweisnummer) gefunden werden.
- “Backups” von php-Dateien erlaubten den Zugriff auf Quellcode, bspw. https://academy.ferrari.com/<redacted>/class.ilCompetence.php.backPrimadiAPOS. Im Quellcode sind auch Zugangsdaten zu finden.
$mail->Username = ‘AKIA████████████████’;
$mail->Password = ‘████████████████████’;
#$mail->addCustomHeader(‘X-SES-CONFIGURATION-SET’,’ConfigSet’);
$mail->Host = ’email-smtp.eu-west-1.amazonaws.com’;
$mail->Port = 465;
- Unter https://<redacted>/.env lag eine Datei mit Umgebungsvariablen.
APP_NAME=Laravel
APP_ENV=local
…
DB_CONNECTION=mysql
DB_HOST=█████████
DB_PORT=3306
DB_DATABASE=█████████
DB_USERNAME=█████████
DB_PASSWORD=█████████
DB_HOST2=█████████
DB_DATABASE2=lmsdb_prod
DB_USERNAME2=█████████
DB_PASSWORD2=█████████
ACADEMYURL=“http://dev.academy.ferrari.com”
- Unter https://<redacted>/lms-ferrari/.git/ und https://<redacted>/fixitproject/.git/ lagen zwei git-Repositories mit Quellcode, Konfiguration und personenbezogenen Daten.