Almeno 400mila siti sarebbero vulnerabili agli attacchi hacker per via dell’errata configurazione del software Git. Il sipario su un problema di portata mondiale è stato alzato dall’hacker etico ceco Vladimir Smitka, il quale si è preso la briga di analizzare ben 230 milioni di pagine Web prima di giungere a conclusioni agghiaccianti. Il ricercatore ha puntato il dito contro i repository di Git, popolare software aperto di controllo versione, lanciato nel 2005 Linus Torvalds, il “papà” di Linux. Secondo Smitka, la configurazione errata del componente (a quanto pare molto diffusa sulla Rete) potrebbe garantire l’accesso a terzi di file e informazioni riguardanti la struttura dei siti, oltre che di dati sensibili come password, chiavi Api e molto altro. Scandagliando queste cartelle, che dovrebbero rimanere private, un hacker potrebbe quindi ricostruire tutta la storia di un sito e carpirne i segreti.

La ricerca dell’hacker etico è partita da un gruppo ristretto di pagine in lingua ceca e slovacca, che ha portato alla luce circa duemila siti con una configurazione errata della cartella /.git/HEAD: la risorsa dovrebbe essere inaccessibile all’esterno, ma in moltissimi casi non lo è. Spinto dalla curiosità, Smitka si è spinto oltre ed è andato a setacciare milioni di portali in tutto il mondo, identificando oltre 189mila domini .com affetti dal bug, ma anche 1.850 siti italiani.

Seguendo la propria natura di white hat, il ricercatore ha provveduto ad avvisare gli amministratori delle pagine dopo aver scovato nelle cartelle Git i loro indirizzi email. Molti sviluppatori si sono attivati immediatamente per risolvere il problema e, dopo un mese, Smitka ha eseguito un altro test su duemila domini: le risorse sensibili sono state messe al riparo nel 55 per cento dei casi. Un numero sicuramente lontano dalla perfezione, ma è già un buon inizio.