謎の人物にWebサイトの脆弱性を指摘された話

発端

ふと普段使っているメールアドレスへの迷惑メールを確認したところこんなメールがありました。
Hello,

I'm an independent security researcher and recently I made a huge scan for publicly accessible .git repositories. I would like to notice you I have found this security problem on your sites too.

When you leave the .git folder accessible on the webserver, it is possible to download the source code and it can be a serious problem. Many of this repositories contain sensitive data like DB credentials, API keys and it is possible to explore the structure of the application to find more security problems (e.g. hidden endpoints like open uploaders and so on). This problem is often missed because when you try to open /.git, the 403 is returned usually, but it is only the result of missing index.html. I gained your e-mail from the repository - from list of commits in /.git/logs/HEAD - you can take it as a proof of concept.

I recommend you to delete the repository if you don't need it, limit access to it, or even better - change the deployment workflow and don't leave the repository in a publicly accessible folder.

This e-mail is auto-generated and I'm sorry if your team have obtained unpleasant amount of this notices, however it is the easiest way to contact a relevant person.

You can find more details about this vulnerability, about the scan and about me on my blog https://smitka.me.

If you think these scans are helpful, please consider a small donation for future projects.

Regards and greetings from the Czech Republic,

Vladimir Smitka

Twitter: @smitka
LinkedIn: vsmitka
Blog: https://smitka.me

List of affected sites: 
https://xxxxxxx.net

何なのか

Webサイトをgitで管理しているのですが、.gitディレクトリに誰でもブラウザからアクセスできる状態ですよと教えてくれるメールでした。
指摘されたのは別のドメインで運用していたサイトですが、このブログも
https://x.momo86.net/.git/config
にアクセスするとgitのconfigが表示されました...。
大急ぎで管理しているサイトの.git関係のパーミッションを修正しました。
親切でとても有り難いメールでしたがこの人は誰?という感じだったので、サーバーとは別回線でhttps://smitka.meへアクセス。
取り敢えずありがとうとコメントしておいた。
その後色々な個人サイトや大学なんかのサイトに対して.git/configを要求してみたが、まだ40*以外の返答がくるサイトには出会っていない。
カテゴリー:サーバー
記事作成日:2018-09-14