El sitio, que se encuentra en la URL insegura que no es HTTPS,http://deloittehackeriq.com/, hace que su archivo de configuracin YAML sea de pblico.Y dentro del archivo, en texto no cifrado, se encuentra el nombre de y la contrasea de la base de datos mySQL del sitio.
El sitio invita a los visitantes a "Pruebe su IQ de Hacker" ingresando un nombre de .Luego plantea una serie de preguntas de opcin mltiple sobre las tcnicas empleadas por los piratas informticos para obtener informacin corporativa.El cuestionario no cubre la posibilidad de contraseas expuestas pblicamente.
El error fue detectado el mircoles por Tillie Kottmann, una consultora y desarrolladora de TI con sede en Suiza que usa el identificadordeletescape.El sitio web fue retirado el mircoles.
Eldeloittehackeriq.com dominio fue registrado por Tank Design, una empresa de marketing digital con sede en Massachusetts, en 2015 y el sitio incluye un aviso de derechos de autor de 2015 Deloitte Development LLC.
Kottmann le dijo aThe que el ltimo compromiso con su repositorio .git fue en 2017 y dijo que no est claro qu tan activamente se est utilizando el sitio.El sitio fue capturado por primera vez por Wayback Machine de Internet Archiveen 2018.
Para agravar an ms la vulnerabilidad del sitio, el cuestionario est alojado en Ubuntu Linux 14.04, que dej de recibir parches de seguridad en abril del ao pasado y es potencialmente vulnerable a11 fallas conocidas.
Kottmann dijo: "Tal vez vale la pena mencionar que muchos sitios, incluidas algunas otras corporaciones ms grandes, tienen .git [repositorios] expuestos en varios dominios".
Fuente: The
