«Debug mode» в Lavarel поставил конфиденциальность сотен ресурсов под угрозу, в т.ч. официальный сайт Д. Трампа

Исследователи информационной безопасности из Comparitech обнаружили уязвимости в сайтах, использующую популярное приложение для разработчиков Lavarel. Над изучением проблемы работала группа штатных специалистов компании, а также Себастьян Коул и Боб Дьяченко, который хорошо известен по своим анонсам ИБ уязвимостей и обнаружением утечек данных.

Они обнаружили 768 веб-сайтов с активными сеансами отладки Laravel. При этом в 10-20% из них допущены грубейшие ошибки, которые могут привести к утечкам конфиденциальных данных.

Поддомен веб-сайта кампании Трампа (DonaldJTrump.com) содержал конфигурацию почтового сервера, представленную в виде простого текста, видимого из любого веб-браузера через интерфейс отладки Laravel.

Мы не можем определить, когда был включен режим отладки, поэтому мы не знаем, как долго данные находились под угрозой. Даже 24 часа достаточно опасны. Теоретически, любой желающий может использовать эти учетные данные для ассоциации его кампании со штабом Трампа и отправки электронных писем от имени email.donaldtrump.com

Боб Дьяченко

Соответственно, данный вид киберугрозы не дает прямой возможности для сбора конфиденциальный данных, но дает вектор атаки для завладения, например, почтовыми серверами или изучение исходного кода сайта — жертвы.

Потенциальные последствия такого рода проникновений весьма и весьма серьезны. На ресурсе производится сбор пожертвований, чем могут успешно злоупотреблять мошенники. Также возможен вектор использования уязвимости как распространение дезинформации среди сторонников действующего президента США в корыстных целях.