dretsdigitals
Ciberseguretat

Española de Telefonía deixa exposat un fitxer .env amb el hash de la contrasenya d'administrador

La marca impulsada per Bertín Osborne tenia públic un fitxer de configuració amb una empremta de la contrasenya d'administrador trivial d'associar amb la contrasenya real. Un cas de manual d'exposició de credencials.

· 2 min de lectura

Espanyola de Telefonia, la marca impulsada pel presentador i cantant Bertín Osborne, tenia el fitxer de configuració .env, amb una empremta (hash) de la contrasenya d'administrador trivial d'associar amb la contrasenya real, exposat al públic. La denúncia va córrer per les xarxes de seguretat, i el problema és tan bàsic com greu.

Un fitxer .env és on moltes aplicacions web guarden les seves credencials i claus: contrasenyes de base de dades, tokens d'API i, en aquest cas, l'empremta de la contrasenya d'administració. No hauria de ser accessible mai des de fora, i deixar-lo servir públicament és un dels errors de configuració més coneguts i evitables que hi ha. Que la contrasenya estigui en forma de hash no salva la situació si aquest hash és feble o previsible: hi ha taules i eines que permeten recuperar la contrasenya original a partir d'empremtes mal fetes.

Des que s'ha sabut, ho han mitigat, i ara la URL retorna un 403, el codi HTTP d'accés prohibit. Però com que no tenen configurada una pàgina d'error a mida, la resposta per defecte inclou un codi que evidencia que fan servir els serveis d'un allotjament anomenat IONOS. És a dir, tapar l'accés no esborra tota la informació que un observador pot deduir de com respon el servidor.

El cas és petit, però il·lustratiu. La seguretat no falla per atacs sofisticats, sinó per descuidos de configuració: un fitxer que no s'hauria de veure, un hash mal triat, una resposta d'error que revela més del compte. Protegir bé un servei no comença per comprar productes cars, sinó per no deixar les claus a la porta i per revisar què ensenya el sistema quan algú hi truca.

Per a una empresa que ofereix serveis de telefonia, a més, la confiança és bona part del producte: un descuit tan bàsic com aquest, encara que finalment no hi hagi hagut cap accés maliciós, deixa la sensació que la resta tampoc no deu estar gaire cuidada.

#filtracio#credencials#configuracio

Continua llegint