محققان امنیتی پویش جامعی را بر روی ۲۳۰ میلیون وبسایت انجام داده و متوجه شدند بیش از ۳۹۰ هزار وبسایت دارای دایرکتوری .git هستند که منجر به افشای اطلاعات حساس این وبسایتها میشود. این پویش در مدت ۴ هفته و با استفاده از ۱۸ سرور مجازی و ۴ سرور فیزیکی انجام شده است. دلیل بروز چنین مشکلی پیکربندی نامناسب این وبسایتها است. توسعهدهندگان وب معمولا از پروژههای متنباز گیت برای توسعهی وبسایت استفاده کرده و آن را در بخش عمومی از وبسایت قرار میدهند. نکتهی بدتر این است که این پروژهها دارای اطلاعات بسیار مهم و حساسی در مورد وبسایت مورد نظر هستند.
مهاجم با دسترسی به دایرکتوری .git میتواند به اطلاعات مهمی مانند پسورد پایگاه داده، کلید API ها، تنظیمات IDE دست یابد. در برخی موارد حتی با انجام پرسوجو میتوان به ساختار این دایرکتوری دست یافت و اطلاعات را راحتتر دریافت کرد. حتی ممکن است این ساختار و اطلاعات در گوگل نیز نمایه شده باشد. مخازن گیت دارای ساختار شناختهشدهای هستند و به راحتی میتوان آنها را دانلود کرد. ابزارهایی مانند GitTools کار دریافت این اطلاعات را برای مهاجمان سادهتر نیز میکنند.
محققان اشاره کردند اگر نظارت بسیار سادهای بر روی پیکربندی وبسایت و چنین دایرکتوریهایی انجام شود نیز کافی نخواهد بود. اگر پیکربندی درست نباشد از مسیر <web-site>/.git/HEAD میتوان به اطلاعات دایرکتوری گیت دست یافت. ولی در بسیاری از موارد زمانی که مسیر <web-site>/.git/ را بررسی میکنید با صفحهی خطای HTTP 403 مواجه میشوید. در این شرایط ممکن است فکر کنید دسترسی به این اطلاعات ممنوع شده است ولی این صفحه صرفا یک امنیت کاذب را به شما القاء میکند. این صفحه به این دلیل نمایش داده میشود که index.html وجود نداشته و یا اتوایندکس غیرفعال است ولی در هر صورت اطلاعات همچنان قابل دریافت هستند.
محققان تصمیم گرفتند تا از طریق ایمیل به کسانی که تحت تاثیر این افشای اطلاعات قرار میگیرند اطلاع دهند. بنابراین در فایل /.git/logs/HEAD به دنبال آدرسهای ایمیل گشتند و تعجبآور اینکه ۲۹۰ هزار آدرس ایمیل از این فایلها بدست آوردند که ۹۰ هزار مورد از آنها منحصربفرد بودند. در ادامه نیز به این افراد ایمیلی ارسال شد. گزارشها نشان میدهد بسیاری از این وبسایتها با زبان برنامهنویسی PHP طراحی شدهاند، هرچند وبسایتهای مبتنی بر پایتون نیز کم نبودند.
وب سرور این وبسایتها بیشتر بر روی توزیع اوبونتو لینوکس میزبانی میشد. CentOS در رتبهی سوم از پراستفادهترین سیستم عاملهای میزبان قرار داشت. علاوه بر این، افزونه WooCommerce WP بر روی اکثر وبسایتها همراه با چارچوب برنامهنویسی CodeIgniter مورد استفاده قرار گرفته است. سیستم مدیریت محتوای وردپرس بیشترین استفاده را در این وبسایتها دارد. محققان اشاره کردند بهترین راه برای جلوگیری از افشای چنین اطلاعاتی بررسی مداوم دایرکتوری .git در وبسایتها است که در معرض دید و دریافت عموم قرار نگرفته باشد.