พบเว็บไซต์มากกว่า 390,000 เว็บที่เปิดหน้าเว็บด้วย ไดเรกทอรี .git อาจเปิดเผยข้อมูลรหัสผ่านฐานข้อมูล หรือ API Keys

Vladimír Smitka นักวิจัยจาก Lynt Services ได้ทำการตรวจสอบเว็บไซต์มากกว่า 230 ล้านทั่วโลก พบว่ากว่า 390,000 เว็บที่พัฒนาโดยใช้เครื่องมือ Git บนหน้าเว็บ และเก็บข้อมูล .git ไว้โฟลเดอร์ที่ใช้เก็บข้อมูลที่อยู่ในส่วนที่สามารถเข้าถึงได้ ทำให้สามารถรับไฟล์ที่มีอยู่ทั้งหมดเกี่ยวกับโครงสร้างของเว็บไซต์ และอาจได้รับข้อมูลที่สำคัญ เช่นรหัสผ่านฐานข้อมูล, API Keys (API-Application Programming Interface ), การตั้งค่า IDE (Integrated Development Environment) เป็นต้น ซึ่งจริงๆ แล้วข้อมูลเหล่านี้ไม่ควรเก็บไว้ในส่วนพื้นที่เก็บข้อมูล ในบางกรณีโครงสร้างของไดเร็กทอรีอาจอนุญาตให้ดาวน์โหลดข้อมูลได้ง่ายขึ้น ซึ่งรวมถึงการจัดทำดัชนีโดย Google เพจที่ได้รับผลกระทบในครั้งนี้ ส่วนใหญ่จะเป็นเพจที่เขียนโดยใช้โปรแกรม PHP โดยระบบปฏิบัติการอันหนึ่งได้แก่ Python รองลงมา Python ส่วนอันดับที่ 3 ได้แก่ CentOS นอกจากนี้ยังมี WordPress plugin อย่าง WooCommerce ซึ่งพบในส่วนของ CodeIgniter application framework ซึ่งจะพบได้ใน WordPress รุ่นเก่า งานนี้ Smitka ได้กล่าวว่า ปัญหาที่เกิดขึ้นนี้เกิดจากการตั้งค่าง่ายๆ สามารถตรวจสอบได้โดยเปิด <web-site>/.git/HEAD ถ้าตั้งค่าได้ถูกต้องมันจะไม่สามารถทำงานได้ แต่ถ้าเข้าผ่าน <web-site>/.git/ โดยตรง ระบบจะขึ้น HTTP 403 error ซึ่งดูเหมือนว่าการเข้าถึงเว็บนั้นถูกปฏิเสธ ทั้งๆ ที่ 403 error เกิดจากไม่มี index.html หรือ index.php และปิดการใช้งานฟังก์ชัน autoindex Smitka แนะนำให้อัปโหลดข้อมูลบนเว็บไซต์ อย่างระมัดระวัง รวมไปถึงเวอร์ชั่นของระบบ สคริปต์ที่ใช้ทดสอบชั่วคราว