Codepurple Logo Codepurple Logo Codepurple Logo
  • Services
  • Blog
  • About us
  • Contact
  • de
  • /

  • en
  • Language:

  • de
  • /

  • en

Datenleck via .DS_Store Dateien

Only in German available.

Published on: June 15, 2022
Author: Thomas Federer

Eine kleine Ergänzung an unserem selber entwickelten Domain-Scanner erlaubt es uns nun eine weitere Analyse eines möglichen Datenlecks zu untersuchen. Dabei hat Codepurple wiederum alle .ch und .li Domains auf öffentlich zugängliche .DS_Store-Dateien untersucht.

public .DS_Storefile

Weitere Analysen von Codepurple aller .ch und .li Domains aus dieser Serie zu fehlerhaften Sicherheitskonfigurationen oder Datenlecks:

  • SPF / DMARC Analyse von .ch und .li Domains
  • Öffentliche .git Ordner
  • Öffentliche .env-Dateien

Was sind .DS_Store Dateien?

.DS_Store Dateien sind verstecke Dateien, welche im Apple macOS (früher OS X) automatisch vom Finder (Filebrowser von Apple macOS) erstellet werden. Diese Dateien sind im Filesystem versteckt und werden im Finder nicht angezeigt. DS_Store steht für Desktop Service Store. In dieser Datei werden Einstellungen zur Ordern-Ansicht, Icon-Positionen usw. gespeichert. Auf Windows-Betriebssystemen kann die .DS_Store Datei mit der ebenfalls versteckten desktop.ini verglichen werden.

In der .DS_Store Datei kann auch der Inhalt des Ordners (Datei- oder Ordernamen) aufgeführt sein. .DS_Store Dateien sind binäre Dateien und können vom Menschen nicht direkt gelesen werden. Es gibt jedoch Tools, welche die darin enthaltenen Daten extrahieren können.

Wie funktioniert nun das Datenleck?

Werden solche .DS_Store Dateien auf einem Webserver kopiert, können diese gelesen und analysiert werden. Durch die Datei- und Ordernamen in der .DS_Store Datei, können Ordner oder Dateien, welche nicht für die Öffentlichkeit bestimmt sind, preisgegeben werden.

Auf die .DS_Store-Datei kann einfach Zugegriffen werden. Zum Beispiel: https://example.com/.DS_Store

Meistens werden die versteckten Dateien automatisch durch das Tool, mit welchem die Webseite entwickelt und deployt wird, auf den Webserver hochgeladen.

Prominentes Beispiel: Microsoft Vancouver

Im Herbst 2021 fanden Sicherheitsforscher von CyberNews, eine .DS_Store Datei auf einem Webserver von Microsoft Vancouver. Anhand des Inhalts dieser Datei konnten Datenbankdumps vom Server heruntergeladen werden. In diesen Datenbank-Dumps befanden sich Benutzernamen, E-Mail-Adressen und Passwort-Hashes von verschiedenen Mitarbeitern.

Analyse in der .ch und .li Domains

Wie sieht es nun bei uns mit den .ch und .li Domänen aus?

Wir fanden:

  • Domains mit .DS_Store Dateien: 8’462
  • Unterschiedliche Datei- und Ordnernamen aus den .DS_Store Dateien extrahiert: 19’266
  • Etwa 40% der Dateien und Ordner sind frei abrufbar

Analog zum obigen Beispiel mit Microsoft, haben wir 10 Datenbank-Dumps mit Benutzernamen und Passwort-Hashes gefunden. Die brisanteste Entdeckung ist wohl der Datenbank-Dump einer KESB (Kindes- und Erwachsenenschutzbehörde). Weitere brisante Entdeckungen waren zum Beispiel Konfigurations-Dateien, SSL-Zertifikate, Source-Code oder “pseudo-versteckte” Admin-Panels.

Wie schütze ich mich vor diesem Datenleck?

secure .DS_Storefile

Es gibt mehrere Möglichkeiten sich zu schützen.

  • .DS_Store Dateien auf dem Webserver für die Auslieferung blockieren (Achtung: Gross- / Kleinschreibung, manche Webserver beachten Gross- / Kleinschreibung nicht)
  • .DS_Store Dateien gar nicht erst auf den Webserver laden
  • Um zu sehen, ob solche Dateien bereits Online sind, die versteckten Dateien auf dem Server anzeigen

Wenn Sie fragen zu Ihrer Domain haben, melden Sie sich unter rhino@codepurple.ch bei uns.

Contact us without obligation:

Sollen wir Ihre Systeme auf öffentliche .DS_Store-Dateien prüfen?

More blog posts

You may be interested in the following blog posts:

  • Risikomanagement und Informationssicherheit
  • 5 Gründe, weshalb dein Unternehmen von einem Pentest profitiert. #Cybersecurity
  • Öffentliche .git Ordner

A password with 8 characters with numbers, upper and lower case letters and symbols can be cracked in under one hour.

Source: Hive Systems

Hello

X

Sollen wir Ihre Systeme auf öffentliche .DS_Store-Dateien prüfen?

Contact us without obligation:

Speech bubble

Do you have any questions or would you like an appointment?

Kathrin Müller is looking forward to hearing from you and will be happy to organize a meeting according to your needs.

Contact

nanio GmbH (Codepurple)
Moosweg 24
5606 Dintikon

+41 79 823 45 30
rhino@codepurple.ch

Follow us

Linekdin

Imprint| Privacy| © Codepurple 2025. All rights reserved