Bei https://vcards-diplo.de/.env handelt es sich nicht um eine Schwachstelle in einem IT-System, sondern vielmehr um eine Fehlkonfiguration bzw. Fehlnutzung des Deploymentprozesses. Daher wird das CERT-Bund kein Coordinated Vulnerability Disclosure einleiten.
Dann kann man mit den Zugangsdaten wahrscheinlich auch nicht auf die DB zugreifen.
HOST = https://vcards-diplo.de
...
# MySQL Einstellungen
DB_HOST = mysql.bytecamp.net
DB_USER = db_29_27_afv
DB_PASS = s***
DB_NAME = db_29_27_afv
@kantorkel Kurze Mail an die Betreiberfirma wurde kaum 20 Minuten später beantwortet: Hat sich bedankt, DB abgeschaltet und Datei nicht mehr zugänglich.
PS: Laut Geschäftsführer sollen keine kritischen oder personenbezogenen Daten betroffen sein.
Da ist ne Seite vom AA, ich schrieb vorm Tröten ans BSI. Dieses hatte offenbar kein Interesse an Responsible/Coordinated Disclosure.
btw, die DB wurde nicht richtig "abgeschaltet"
Welcome to the MariaDB monitor. Commands end with ; or \g.
Your MySQL connection id is 642002055
Server version: 5.7.42 Source distribution
kantorkel
CCC Aachen
👾 Rene Rehme #39C3