- Исследование показало, что около 5 миллионов веб-серверов по всему миру ошибочно открывают доступ к служебным данным Git.
- Эта ошибка настройки позволяет злоумышленникам получать исходный код, а также конфиденциальные данные, включая логины и токены для удалённых репозиториев.
- Большая часть уязвимых серверов расположена в США, а также в Германии, Франции, Индии, России и других странах.
Компания Mysterium VPN провела масштабное исследование сетевой инфраструктуры в 2026 году и выявила значительную проблему безопасности. Около 4,9 миллиона веб-серверов по всему миру открывают доступ к служебным данным Git из-за ошибки в настройках. Основная причина — неверная организация развертывания сайтов, когда скрытые каталоги репозиториев (.git) становятся доступны публично.
Внутри каждого Git-репозитория хранится каталог .git с историей изменений, настройками и другими важными файлами. Если доступ к нему не ограничен, злоумышленники могут получить полную структуру проекта, изучить логику работы приложения, а также выявить конфиденциальные параметры. Особенно опасна ситуация, когда в файле .git/config содержатся данные для подключения к удалённым сервисам: логины, токены и пароли для автоматизации сборки и публикации кода. В таких условиях атакующие могут не только украсть исходный код, но и внедрить вредоносные компоненты, влияя на цепочки поставок программного обеспечения.
Исследование выявило почти 5 миллионов IP-адресов, на которых метаданные Git доступны извне. Среди стран с наибольшим числом уязвимых серверов лидируют США — более 1,7 млн, а также Германия, Франция, Индия, Сингапур, Нидерланды, Япония, Россия, Великобритания и Гонконг. Эксперты подчеркивают, что этот показатель отражает распределение хостинг-площадок, а не географию владельцев сайтов.
По мнению исследователей, проблема существует уже несколько лет. Разработчики часто публикуют на сервер полный каталог проекта вместе с скрытыми папками, а инструменты упаковки автоматически включают лишние файлы. При этом веб-серверы не всегда блокируют доступ к скрытым каталогам, а защита может вводиться только для основного домена, оставляя открытым доступ по IP или альтернативным именам.
Для устранения уязвимости рекомендуется полностью закрывать доступ к директории .git на уровне сервера и не размещать репозитории в рабочей среде. Вместо этого следует выкладывать только готовые сборки. Также необходим вывод из обращения и перевыпуск секретных ключей и токенов, обнаруженных в конфигурационных файлах. Автоматизация проверки кода на наличие секретов и централизованное управление учётными данными помогут снизить риски.
Эксперты Mysterium VPN предупреждают, что несмотря на относительно небольшой процент утечек, масштаб Интернета делает такие инциденты крайне опасными. Автоматизированные инструменты позволяют злоумышленникам быстро находить уязвимые сайты и осуществлять массовые атаки с минимальными затратами.
Ранее сообщалось о других угрозах безопасности веб-серверов, включая взломы Nginx, при которых вредоносный код внедряется в файлы конфигураций с целью перехвата и перенаправления трафика. Разработчики уже выпустили обновление nginx 1.29.5 для устранения известных уязвимостей, в том числе критической CVE-2026-1642, связанной с проксированием запросов через защищённые каналы.
