Este
tipo de repositorios están ahora muy de moda, permitiendo a los usuarios
compartir sus documentos, orientados sobre todo a los desarrolladores de
software. Los ".git" son uno de los más utilizados, sin embargo, una
configuración de privacidad errónea podría exponer los datos de los usuarios.
Jamie Brown, un desarrollador de software y experto en temas de seguridad ha analizado la configuración de una gran cantidad de repositorios del servicio creado por Linus Torvalds. Y es que a pesar de tener 10 años de antigüedad es ahora cuando ha mostrado un gran apogeo, ayudado sobre todo por la gran cantidad de aplicaciones móviles y de escritorio que se están creando y que cuyo código es compartido por los usuarios.
Estos
repositorios contienen una carpeta oculta denominada .git que almacena una gran
cantidad de información de la que muchos usuarios no son conscientes. Aquellos
más experimentados optan por protegerla de forma minuciosa ya que ahí podemos
encontrar claves de cifrados, credenciales de acceso a servidores FTP, … El
problema es que una inmensa mayoría desconoce su existencia y dejan el
contenido de esta carpeta totalmente desprotegido, permitiendo el acceso
público la información que en principio
debería ser privada.
La carpeta .git está expuesta en un número importante de repositorios
analizados
- Como resultados del estudio realizado, Brown se ha encontrado con que 8.000 repositorios del millón y medio analizados exponen la carpeta descrita con anterioridad, incluyendo empresas de bastante prestigio entre los afectados, como por ejemplo el de la BBC.
- Antes de utilizar este servicio, Brown recomienda fijarnos en primer lugar en la configuración de privacidad que posee el servicio y configurarla de forma adecuada para no exponer la información. Lo importante en este caso no es hacer el repositorio .git privado o público, sino que la carpeta considerada clave sea privada y no pueda ser accesible por otros usuarios que puedan acceder de esta forma a más información de la interesada.
- No tenemos que rebuscar tanto en los servicios de Internet para darnos cuenta que las redes sociales son la primera fuente de robo de información. Una gran cantidad de cuentas no están configuradas de forma correcta y los otros usuarios pueden acceder a más información de la deseado, incluso facilitando un posible robo de la cuenta.
- Pero esto es solo un ejemplo ya que podemos citar además servicios FTP, gestores de páginas web y así hasta completar una larga lista de servicios, por lo tanto, los repositorios .git son solo uno más de la lista.