El sitio, que se encuentra en la URL insegura que no es HTTPS, http://deloittehackeriq.com/, hace que su archivo de configuración YAML sea de acceso público. Y dentro del archivo, en texto no cifrado, se encuentra el nombre de usuario y la contraseña de la base de datos mySQL del sitio.
El sitio invita a los visitantes a "Pruebe su IQ de Hacker" ingresando un nombre de usuario. Luego plantea una serie de preguntas de opción múltiple sobre las técnicas empleadas por los piratas informáticos para obtener información corporativa. El cuestionario no cubre la posibilidad de contraseñas expuestas públicamente.
El error fue detectado el miércoles por Tillie Kottmann, una consultora y desarrolladora de TI con sede en Suiza que usa el identificador deletescape . El sitio web fue retirado el miércoles.
El deloittehackeriq.com dominio fue registrado por Tank Design, una empresa de marketing digital con sede en Massachusetts, en 2015 y el sitio incluye un aviso de derechos de autor de 2015 Deloitte Development LLC.
Kottmann le dijo a The Register que el último compromiso con su repositorio .git fue en 2017 y dijo que no está claro qué tan activamente se está utilizando el sitio. El sitio fue capturado por primera vez por Wayback Machine de Internet Archive en 2018 .
Para agravar aún más la vulnerabilidad del sitio, el cuestionario está alojado en Ubuntu Linux 14.04, que dejó de recibir parches de seguridad en abril del año pasado y es potencialmente vulnerable a 11 fallas conocidas .
Kottmann dijo: "Tal vez vale la pena mencionar que muchos sitios, incluidas algunas otras corporaciones más grandes, tienen .git [repositorios] expuestos en varios dominios".
Fuente: The register
