Jugando con fuego: millones de carpetas .git expuestas al público

AS-083-2022

Fecha: 20/10/2022

Resumen:

El equipo de investigación de Cybernews, encontró que casi dos millones de carpetas .git que contienen información vital de proyectos están expuestas al público.

Más del 31 % de las carpetas .git expuestas públicamente se encuentran en EE. UU., seguido de China (8 %) y Alemania (6,5 %).

Recomendaciones:

Los desarrolladores necesitan hacer uso del archivo .gitignore, diciéndole a Git qué archivos ignorar al enviar un proyecto al repositorio de GitHub . En general, nunca es una buena idea enviar nada confidencial, incluso a repositorios privados, peor aún no dejar quemadas las claves en los repositorios, ni ninguna información sensible.

No dejar los servidores web accesibles a través de IP. Los nombres de dominio , están diseñados para que los usuarios los recuerden y accedan a ellos fácilmente, pero funcionan como alias de las direcciones IP expresadas en una secuencia de números. Centrados en proteger la dirección de dominio principal utilizada por el público, los desarrolladores a menudo se olvidan de establecer las mismas reglas de control de acceso a las direcciones IP correspondientes, lo que podría provocar que los actores de amenazas modifiquen el dominio y configuren las reglas de acceso, entre otras cosas.

Referencia:

https://cybernews.com/security/millions-git-folders-exposed/