Пароли приложений на Django находятся в открытом доступе из-за включенного режима отладки
Специалист по информационной безопасности Фабио Кастро (Fábio Castro) обнаружил, что разработчики забывают отключить режим отладки при создании приложений на Django. Из-за этого секретная информация — пароли, ключи API и токены AWS — доступна злоумышленникам. Сервис Shodan выявил 28 165 таких приложений.
Специалист по информационной безопасности Фабио Кастро (Fábio Castro) обнаружил, что разработчики забывают отключить режим отладки при создании приложений на Django. Из-за этого секретная информация — пароли, ключи API и токены AWS — доступна злоумышленникам. Сервис Shodan выявил 28 165 таких приложений.
Последствия
Как выяснил Кастро, включенный режим отладки во многих приложениях позволяет злоумышленникам получить полный доступ к данным пользователя. В некоторых случаях пароли к БД и токены AWS открывают данные не только приложений, но и других частей ИТ-инфраструктуры.
По мнению специалиста, создатели Django не несут ответственности за оплошность пользователей фреймворка.
Виктор Геверс (Victor Gevers), глава некоммерческой организации GDI Foundation, заявил, что некоторые уязвимые сервера уже скомпрометированы, а другие «сливали» конфиденциальные данные различных правительственных учреждений. Он отметил, что начал уведомлять владельцев серверов об уязвимых приложениях Django: пока отправлено 1822 сообщения, и на 143 серверах брешь уже неактивна.
Фабио Кастро наткнулся на уязвимость, когда работал во фреймворке над небольшим проектом. Подобные случайные открытия нередки: не так давно судебный аналитик Сара Эдвардс во время подготовки курса по работе с устройствами Apple обнаружила уязвимость в файловой системе macOS, позволяющую заполучить пароли зашифрованных внешних дисков.