Bei https://vcards-diplo.de/.env handelt es sich nicht um eine Schwachstelle in einem IT-System, sondern vielmehr um eine Fehlkonfiguration bzw. Fehlnutzung des Deploymentprozesses. Daher wird das CERT-Bund kein Coordinated Vulnerability Disclosure einleiten.
Dann kann man mit den Zugangsdaten wahrscheinlich auch nicht auf die DB zugreifen.
HOST = https://vcards-diplo.de
...
# MySQL Einstellungen
DB_HOST = mysql.bytecamp.net
DB_USER = db_29_27_afv
DB_PASS = s***
DB_NAME = db_29_27_afv
und der Vollständigkeit halber:
Sehr netter Dienstleister, schnelle Reaktion, ordentliche Gegen- und Verbesserungsmaßnahmen. Der kann wenig fürs #BSI
@kantorkel Kurze Mail an die Betreiberfirma wurde kaum 20 Minuten später beantwortet: Hat sich bedankt, DB abgeschaltet und Datei nicht mehr zugänglich.
PS: Laut Geschäftsführer sollen keine kritischen oder personenbezogenen Daten betroffen sein.
Da ist ne Seite vom AA, ich schrieb vorm Tröten ans BSI. Dieses hatte offenbar kein Interesse an Responsible/Coordinated Disclosure.
btw, die DB wurde nicht richtig "abgeschaltet"
Welcome to the MariaDB monitor. Commands end with ; or \g.
Your MySQL connection id is 642002055
Server version: 5.7.42 Source distribution
@cccac @kantorkel kann es sein, dass Du mit "responsible" disclosure, einen coordinated disclosure meinst? Und Dich vom Vendor auch noch dreist verarschen lässt?
Manchmal kann es auch sehr vernünftig und verantwortungsvoll sein, etwas zu publizieren.
kantorkel
christina | twyn!b
Tobias 😎🌍🇪🇺🇺🇦☀️🚀🚵
TheTomas
CCC Aachen
👾 Rene Rehme #39C3
Flüpke
Manuel 'HonkHase' Atug
Niko