Site de teste de segurança criado por consultores inclui rodada bônus inadvertida
Um site criado para a consultoria global Deloitte para questionar as pessoas sobre o conhecimento de táticas de hackers provou-se vulnerável a hackers.
O site, encontrado na URL insegura não-HTTPS, torna seu arquivo de configuração YAML acessível publicamente. E dentro do arquivo, em cleartext, está o nome de usuário e senha para o banco de dados mySQL do site.http://deloittehackeriq.com/
O site convida os visitantes a “Testar seu QI hacker” digitando um nome de usuário. Em seguida, ele coloca uma série de perguntas de múltipla escolha sobre técnicas empregadas por hackers para obter informações corporativas. O teste não cobre a possibilidade de senhas expostas publicamente.
O erro foi detectado na quarta-feira por Tillie Kottmann, consultora e desenvolvedora de TI com sede na Suíça que usa a alça “deletescape“. O site foi retirado na quarta-feira.
Hey @Deloitte, o que exatamente é o meu QI hacker agora? pic.twitter.com/Bqv25kdDsU— Tillie Kottmann 💛🤍💜🖤 (@antiproprietary) 4 de novembro de 2020
Kottmann publicou em agosto materiais técnicos intel vazados, bem como código fonte SonarQube.
O domínio foi registrado pela Tank Design, uma empresa de marketing digital com sede em Massachusetts, em 2015 e o site inclui um aviso de direitos autorais da Deloitte Development LLC de 2015.deloittehackeriq.com
Kottmann disse ao The Register que o último compromisso com seu .git repo foi em 2017 e disse que não está claro quão ativamente o site está sendo usado. O site foi capturado pela primeira vez pela Máquina Wayback do Internet Archive em 2018.
Compondo ainda mais a vulnerabilidade do site, o quiz está hospedado no Ubuntu Linux 14.04, que parou de receber patches de segurança em abril do ano passado e é potencialmente vulnerável a 11 falhas conhecidas.
Kottmann disse: “Talvez valha a pena mencionar que um monte de sites, incluindo algumas outras grandes corporações, têm .git [repositórios] expostos em vários domínios.”
O Register pediu à Deloitte e à Tank Design para comentar, mas não tivemos resposta.
FONTE: THE REGISTER