UaaS - Userdata as a Service
Fast jeder Entwickler nutzt eine Versionsverwaltung. Sei es um seinen Sourcecode wirklich zu versionieren, als Backup oder um sich im Team besser zu koordinieren. Git hat sich in der Praxis hierfür wohl am stärksten verbreitet. Wer einen solchen Server nicht verwalten möchte, kann sich auch an Dienstleister wenden und einen solchen Dienst hosten lassen. Die beliebtesten sind github.com und bitbucket.org. Ich persönlich nutze lieber Bitbucket als github. Dort kann ich auch als User mit dem kostenlosen Account im Gegensatz zu github private Repositories erstellen. Und das war nun auch mein erster Fehler als ich im Team mit github arbeiten sollte. Das komplette WordPress Verzeichnis befand sich im Repository und somit auch die wp-config.php Datei in der die Grundlegenden WordPress-Einstellungen gespeichert werden. Unter anderem auch die Benutzerdaten für die Verwendung des MySQL Servers. In öffentlichen repositories sind diese Daten dann für jeden einsehbar. Dies sollte eigentlich selbstverständlich sein und mir passierte es auch nur aus Unachtsamkeit. Aus Interesse suchte ich mal auf github nach wp-config.php Dateien und war über die Ergebnisse erstaunt.
Über 192 Millionen Dateien mit dem Namen wp-config.php fand ich und fast alle gehören zu einem WordPress Projekt. Ich schaute mir ein paar an und in fast allen waren auch Logindaten und Server für MySQL Datenbanken. In vielen Projekten stand als MySQL-Serveradresse aber auch nur ‘localhost’ was einem auf den ersten Blick nicht half. Über den Repository Namen konnte man aber trotzdem die Domain erraten/ablesen. Vielen kam aber eine Sicherheitsfunktion des MySQL-Servers zugute. Denn standardmäßig erlaubt der MySQL-Server nicht die Anmeldung von ‘any Client’ für neu angelegte Benutzer. Dennoch war ich überrascht, dass unter den ersten 20 getesteten Logindaten zwei ‘root’ Nutzer waren deren Anmeldung von ‘any Client’ möglich war.
Ich wette, wenn nach weiteren Standarddateien für andere beliebte Systeme gesucht wird, wird man auch dort solche unachtsamen Datenschutzprobleme finden.