Datenleck via .DS_Store Dateien

Eine kleine Ergänzung an unserem selber entwickelten Domain-Scanner erlaubt es uns nun eine weitere Analyse eines möglichen Datenlecks zu untersuchen. Dabei hat Codepurple wiederum alle .ch und .li Domains auf öffentlich zugängliche .DS_Store-Dateien untersucht.

Weitere Analysen von Codepurple aller .ch und .li Domains aus dieser Serie zu fehlerhaften Sicherheitskonfigurationen oder Datenlecks:

• SPF / DMARC Analyse von .ch und .li Domains
• Öffentliche .git Ordner
• Öffentliche .env-Dateien

Was sind .DS_Store Dateien?

.DS_Store Dateien sind verstecke Dateien, welche im Apple macOS (früher OS X) automatisch vom Finder (Filebrowser von Apple macOS) erstellet werden. Diese Dateien sind im Filesystem versteckt und werden im Finder nicht angezeigt. DS_Store steht für Desktop Service Store. In dieser Datei werden Einstellungen zur Ordern-Ansicht, Icon-Positionen usw. gespeichert. Auf Windows-Betriebssystemen kann die .DS_Store Datei mit der ebenfalls versteckten desktop.ini verglichen werden.

In der .DS_Store Datei kann auch der Inhalt des Ordners (Datei- oder Ordernamen) aufgeführt sein. .DS_Store Dateien sind binäre Dateien und können vom Menschen nicht direkt gelesen werden. Es gibt jedoch Tools, welche die darin enthaltenen Daten extrahieren können.

Wie funktioniert nun das Datenleck?

Werden solche .DS_Store Dateien auf einem Webserver kopiert, können diese gelesen und analysiert werden. Durch die Datei- und Ordernamen in der .DS_Store Datei, können Ordner oder Dateien, welche nicht für die Öffentlichkeit bestimmt sind, preisgegeben werden.

Auf die .DS_Store-Datei kann einfach Zugegriffen werden. Zum Beispiel: https://example.com/.DS_Store

Meistens werden die versteckten Dateien automatisch durch das Tool, mit welchem die Webseite entwickelt und deployt wird, auf den Webserver hochgeladen.

Prominentes Beispiel: Microsoft Vancouver

Im Herbst 2021 fanden Sicherheitsforscher von CyberNews, eine .DS_Store Datei auf einem Webserver von Microsoft Vancouver. Anhand des Inhalts dieser Datei konnten Datenbankdumps vom Server heruntergeladen werden. In diesen Datenbank-Dumps befanden sich Benutzernamen, E-Mail-Adressen und Passwort-Hashes von verschiedenen Mitarbeitern.

Analyse in der .ch und .li Domains

Wie sieht es nun bei uns mit den .ch und .li Domänen aus?

Wir fanden:

• Domains mit .DS_Store Dateien: 8’462
• Unterschiedliche Datei- und Ordnernamen aus den .DS_Store Dateien extrahiert: 19’266
• Etwa 40% der Dateien und Ordner sind frei abrufbar

Analog zum obigen Beispiel mit Microsoft, haben wir 10 Datenbank-Dumps mit Benutzernamen und Passwort-Hashes gefunden. Die brisanteste Entdeckung ist wohl der Datenbank-Dump einer KESB (Kindes- und Erwachsenenschutzbehörde). Weitere brisante Entdeckungen waren zum Beispiel Konfigurations-Dateien, SSL-Zertifikate, Source-Code oder “pseudo-versteckte” Admin-Panels.

Wie schütze ich mich vor diesem Datenleck?

Es gibt mehrere Möglichkeiten sich zu schützen.

• .DS_Store Dateien auf dem Webserver für die Auslieferung blockieren (Achtung: Gross- / Kleinschreibung, manche Webserver beachten Gross- / Kleinschreibung nicht)
• .DS_Store Dateien gar nicht erst auf den Webserver laden
• Um zu sehen, ob solche Dateien bereits Online sind, die versteckten Dateien auf dem Server anzeigen

Wenn Sie fragen zu Ihrer Domain haben, melden Sie sich unter rhino@codepurple.ch bei uns.