Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Инструкция по «самовзлому»: просто оставьте папку «.git» в публичной части вашего сайта

leer en español

Mysterium VPN Git утечка кода конфигурация серверов учётные данные безопасность разработки
Инструкция по «самовзлому»: просто оставьте папку «.git» в публичной части вашего сайта
Mysterium VPN Git утечка кода конфигурация серверов учётные данные безопасность разработки

Хакеры ценят такую щедрость, особенно если речь о секретных доступах.

image

Почти пять миллионов веб-серверов по всему миру оказались настроены с ошибкой и открывают доступ к служебным данным Git, что создаёт риск утечки исходного кода и учётных данных. К такому выводу пришла команда сервиса Mysterium VPN после масштабного сканирования сетевой инфраструктуры в 2026 году. Проблема связана с тем, что скрытые каталоги репозиториев попадают в публичную часть сайтов и становятся доступны любому желающему.

Git остаётся самым распространённым инструментом контроля версий, созданным Линусом Торвальдсом, и используется в большинстве проектов разработки. Внутри каждого репозитория хранится служебный каталог .git с историей изменений, настройками и техническими файлами. При неправильном развёртывании сайта эта папка может оказаться в открытом доступе. Тогда посторонний получает возможность восстановить структуру проекта, изучить внутреннюю логику приложения и найти секретные параметры.

В ходе исследования обнаружено 4 964 815 IP адресов, где метаданные Git доступны извне. В 252 733 случаях в файле .git/config находились данные для подключения к удалённым репозиториям и сервисам. Это около 5% от всех найденных открытых конфигураций. Подобные записи нередко содержат логины, токены и пароли для автоматизированных процессов сборки и публикации кода. При такой утечке ошибка конфигурации превращается в прямой путь к захвату репозитория и внедрению вредоносных изменений.

Чаще всего уязвимые узлы размещены в США, где зафиксировано более 1,7 миллиона адресов. Далее идут Германия, Франция, Индия, Сингапур, Нидерланды, Япония, Россия, Великобритания и Гонконг. Распределение отражает концентрацию хостинга и облачных площадок, а не происхождение владельцев сайтов.

Открытая директория .git позволяет запросить служебные файлы вроде HEAD, index и config и на их основе собрать копию проекта при помощи общедоступных утилит. После этого злоумышленники находят встроенные ключи API, служебные адреса, скрытые маршруты администрирования и незащищённые модули. Отдельный риск связан с повторным использованием учётных данных. При наличии прав на запись возможна подмена кода, изменение релизов и атаки на цепочки поставок программного обеспечения.

Авторы отчёта отмечают, что причина повторяется из года в год. Разработчики иногда загружают на сервер весь каталог проекта вместе со скрытыми папками. Инструменты упаковки включают лишние файлы. Веб-серверы по умолчанию не всегда блокируют доступ к скрытым директориям. Кроме того, защита может работать только для основного домена, тогда как прямой доступ по IP или альтернативному имени остаётся открытым.

Для снижения риска рекомендуется полностью закрывать доступ к путям .git на уровне сервера и не размещать репозитории в производственной среде. Вместо рабочих каталогов следует публиковать только готовые сборки. Все найденные в конфигурациях ключи и токены необходимо немедленно отзывать и перевыпускать. Дополнительно помогают автоматические проверки на наличие секретов в коде и централизованное хранилище учётных данных.

Исследование показывает, что даже небольшой процент утечек при масштабах интернета приводит к сотням тысяч скомпрометированных доступов. По оценке команды Mysterium VPN, автоматизация поиска таких файлов делает атаки быстрыми и дешёвыми, поэтому простые ошибки развёртывания всё чаще приводят к серьёзным инцидентам.