Nul
hij programmeertaal PHP werd voor het eerst uitgebracht in 1995, maar de 23 jaar later honderden, zo niet duizenden website-ontwikkelaars zijn nog niet te begrijpen het basisconcept dat het debuggen en het melden van fouten berichten kunnen informatie bevatten die kunnen leiden tot een hack en mag nooit worden overgelaten geactiveerd op een live website.
Dit is nog steeds een probleem, ook vandaag nog, in 2018, volgens Bob Diachenko, Directeur van de Cyber Risico-Onderzoek op cyber-security bedrijf Hacken.
Diachenko onlangs heeft uitgevoerd een internet-wide search op zoek naar websites die gecodeerd zijn in Laravel, een PHP framework voor het bouwen van web-apps, die het blootstellen van hun debug mode.
“Ik heb […] met een prachtige lijst van 566 IPs,” zei Diachenko in het onderzoek dat vandaag is gepubliceerd.
De informatie in Laravel de debug modus kan variëren, afhankelijk van welk kader heeft de website of web app heeft gebruikt, van eenvoudige tips over een fout van de locatie in de broncode van de gevallen waarin de debug message blurts zeer gevoelige database en API-referenties.
“Deze informatie kan helpen een aanvaller meer informatie en potentieel om zich te concentreren op de ontwikkeling van verdere aanvallen op het doel systeem,” Diachenko zei.
De meest gevaarlijke gevallen waren, uiteraard, websites die gedrukte database en API-referenties in leesbare vorm via Laravel de debug modus berichten.
‘De afgelopen twee weken heb ik het op verantwoorde wijze aangemelde 22 bedrijven die referenties zijn blootgesteld, op een zodanige wijze,” Diachenko zei.
De ene incident dat stond boven alle anderen in Diachenko in een recente studie werd de zaak van PrestoDaycare, een zweeds bedrijf dat ontwikkelt zich een web-based kinderopvang platform.
Het bedrijf web service biedt de leerkrachten, de pre-school en het personeel, managers en ouders, te beheren, te participeren, en houden een oog op de pre-school activiteiten via een web-based dashboard. Maar vorige maand, Diachenko vond het lekkende een schat aan gevoelige informatie via de Laravel debug modus die nog actief was.
De site gelekt van alles en nog wat een hacker nodig zou hebben om toegang te krijgen tot de servers en het downloaden van gevoelige gegevens over kinderopvang, kinderen, en hun ouders.
PrestoDaycare portal lekkende DB en API-referenties
Afbeelding: ZDNet
Het duurde Diachenko een paar dagen om in contact te komen met het bedrijf, maar met de hulp van de lokale zweedse security-onderzoekers en de zweedse Computer Emergency Onderzoek Team (CERT), PrestoDaycare werd meegedeeld, en het bedrijf gedeactiveerd de debug-modus op haar website.
ZDNet stuurde het bedrijf een aantal vragen eerder deze week, met de vraag voor hoe lang was de foutopsporingsmodus ingeschakeld, welke gegevens zijn opgeslagen op de servers’, waarvan de referenties zijn gelekt, en als het bedrijf keek toegang tot logs om te zien of onbevoegde personen had gebruikt blootgesteld referenties.
Terwijl PrestoDaycare niet reageren op ons verzoek om reactie, en zij vertelden Diachenko vorige week dat “als een GDPR-compliant organisatie, [ze] medegedeeld het incident volgens de richtlijn.”
Het bedrijf ontkende ook dat ze nog de debug-modus is ingeschakeld opzet, schuld op een bug.
Diachenko zegt dat van de 22 bedrijven die hij aangemeld, vijf nog heeft om te reageren op zijn e-mails, en zijn nog steeds blootstelling van gevoelige gegevens via debug berichten.
Het moet gaan zonder te zeggen door dit punt debug modi, ongeacht van Apache, PHP, Java, JavaScript, of een andere techniek, mag niet worden ingeschakeld op live/productie systemen.
Vorige en aanverwante dekking
Noord-Korea APT38 hacken van de groep achter de bank heists van meer dan $100 miljoenDHS de hoogte van lopende APT-aanvallen op cloud service providersCanadese restaurant keten lijdt land-breed uitval na malware-uitbraak
Gwinnett Medisch Centrum onderzoekt mogelijke schending van de beveiligingFacebook kon het gezicht van $1.63 bn fijn onder de GDPR over de meest recente gegevens van schendingvan het State Department blijkt inbreuk op gegevens, gegevens van een werknemer blootgesteldTechRepublic: Waarom 31% van de inbreuken leiden tot werknemers ontslagenCNET: Na Facebook hack, er is een hoop nutteloze post-schending advies
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0