Открытый .git/config — и всё: как одна папка открывает дверь в облако

Если кто-то думал, что старый-добрый .git/config — это просто технический файл, то теперь он может пересмотреть свое мнение. Хакеры по всему миру начали массово охотиться за этой конфигурацией, и не просто ради спортивного интереса. С 20 по 21 апреля зафиксировали почти 4800 уникальных IP, сканирующих сайты на предмет наличия открытых .git-директорий. В лидерах — Сингапур, США и Германия, а атаки шли в основном через IP от Amazon, Cloudflare и DigitalOcean.

Смысл атаки простой: если .git/config доступен через веб, можно получить доступ к информации об удаленных репозиториях, логинам, API-ключам и токенам. А если не закрыта вся .git/-папка — то вообще вытянуть весь проект с историей коммитов, где частенько можно найти пароли или ключи, которые никто не должен был видеть. Это уже не просто «утечка», это прямой маршрут к приватным данным и облачной инфраструктуре.

Прецеденты уже были. В октябре прошлого года атака EmeraldWhale, как установили в Sysdig, скомпрометировала более 15 000 учеток через уязвимые Git-настройки. Атаки становились всё изобретательнее: вместо взлома самих пользователей — ломают инструменты, которые должны их защищать. Не закрыли .git/ в проде? Поздравляем, вы — новый участник статистики.

Защита тут не какая-то сложная и не требует супер-DevOps-мага. Просто не надо делать .git/ общедоступной. Блокируйте ее на уровне сервера, отключайте доступ ко всем скрытым файлам, следите за логами и меняйте токены, если что-то утекло. Сейчас облачные проекты настолько переплетены с Git, что одна ошибка в конфигурации может развернуть всю вашу разработку наружу.