专家发现,包含我国在内的数百万的.git文件夹暴露在公众面前;因使用无钥匙入侵技术盗取汽车,被捕;
2022-10-22 09:3:36 Author: 黑白之道(查看原文) 阅读量:9 收藏

专家发现,包含我国在内的数百万的

.git文件夹暴露在公众面前

网络新闻研究小组发现,近200万个包含重要项目信息的.git文件夹被暴露在公众面前。

Git是最流行的开源分布式版本控制系统(VCS),由Linus Torvalds在近20年前为Linux内核的开发而开发,其他内核开发者也为其最初的开发做出了贡献。它允许协调开发源代码的程序员之间的工作,并允许跟踪变化。

一个.git文件夹包含了项目的基本信息,如远程仓库地址、提交历史日志和其他基本元数据。让这些数据处于开放状态会导致漏洞和系统暴露。例如,Cybernews最近的另一项研究发现,美国的流媒体服务CarbonTV将一台服务器的源代码开放,危及用户安全和公司的声誉。由于对.git文件夹的访问控制不佳,导致源代码泄露。

Cybernews的研究人员对最常见的网络服务端口80和443进行了研究,发现有1,931,148个IP地址的实时服务器的.git文件夹结构可以被公众访问。

"让公众访问.git文件夹可能会导致源代码的暴露。从.git文件夹中获取部分或全部源代码所需的工具是免费的,而且是众所周知的,这可能会导致更多的内部泄露,或者让恶意行为者更容易进入系统,"Cybernews的研究员Martynas Vareikis说。

超过31%的公开曝光的.git文件夹位于美国,其次是中国(8%)和德国(6.5%)。

 约有6.3%的暴露的.git配置文件在配置文件本身有其部署凭证。 

 

上面的截图显示的是.git/config文件,凭证已被遮挡。

"凭证泄露的情况更糟糕。威胁者可以利用它们来查看/访问/拉动/推动所有存储库,为恶意行为者提供更多机会,如植入恶意广告、改变内容和信用卡盗刷。Vareikis警告说:"当你有完全的权限时,可能性是无穷的。

他说,开发者需要利用.gitignore文件,告诉Git在将项目提交到GitHub仓库时要忽略哪些文件。一般来说,提交任何敏感文件都不是一个好主意,即使是提交到私人仓库。

CyberNews专家注意到,让公开暴露的网络服务器通过IP访问仍然是一种常见的做法。  域名,如cybernews.com,是为了让用户记住并方便访问,但它们的功能是作为用一连串数字表示的IP地址的别名。由于专注于保护公众使用的主要域名地址,开发人员往往忘记为相应的IP地址设置相同的访问控制规则,这可能导致威胁者修改域名和配置访问规则等。

因使用无钥匙入侵技术盗取汽车,被捕;

Bleeping Computer 网站披露,法国、西班牙和拉脱维亚的警方联合捣毁了一个汽车盗窃团伙,该团伙利用一种欺诈性软件,在不使用物理钥匙的情况下盗窃车辆。
据悉,该犯罪团伙以使用无钥匙进入和启动系统的汽车为目标,利用其无钥匙技术在不使用遥控钥匙的情况下打开车门,启动发动机,将汽车偷走。
法国国家宪兵队(FNG)网络空间指挥部查获了用于入侵汽车无钥匙技术的欺诈性软件域名。值得一提的是,在欧洲刑警组织发布的新闻稿中并未提及该网站的 URL 或其所在域名,也没有提供有关嫌疑人如何入侵无钥匙车辆的任何细节。
此次调查是由法国宪兵队网络犯罪中心(C3N)发起。自 2022 年 3 月以来,欧洲刑警组织一直在大力支持这一案件、期间不仅进行了大量情报信息分析并向所有受此犯罪影响的国家分享情报,还积极协调法国、拉脱维亚和西班牙国家当局之间的跨境抓捕。
此外,在抓捕行动当天,欧洲刑警组织还将一个流动办公室派往法国以协助法国当局采取调查措施。

文章来源 :E安全、freebuf

精彩推荐

最难就业季|“本想先读书躲一躲,谁料行情还不如两年前”



文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650554424&idx=1&sn=f7a777f27bca343ec213ce6d52364581&chksm=83bd25dcb4caacca0001298f55fa09657cb08f6f65a77b840ac841561dd547994208192509f0#rd
如有侵权请联系:admin#unsafe.sh