Bei https://vcards-diplo.de/.env handelt es sich nicht um eine Schwachstelle in einem IT-System, sondern vielmehr um eine Fehlkonfiguration bzw. Fehlnutzung des Deploymentprozesses. Daher wird das CERT-Bund kein Coordinated Vulnerability Disclosure einleiten.
Dann kann man mit den Zugangsdaten wahrscheinlich auch nicht auf die DB zugreifen.
HOST = https://vcards-diplo.de
...
# MySQL Einstellungen
DB_HOST = mysql.bytecamp.net
DB_USER = db_29_27_afv
DB_PASS = s***
DB_NAME = db_29_27_afv
@kantorkel Kurze Mail an die Betreiberfirma wurde kaum 20 Minuten später beantwortet: Hat sich bedankt, DB abgeschaltet und Datei nicht mehr zugänglich.
PS: Laut Geschäftsführer sollen keine kritischen oder personenbezogenen Daten betroffen sein.
@cccac @kantorkel kann es sein, dass Du mit "responsible" disclosure, einen coordinated disclosure meinst? Und Dich vom Vendor auch noch dreist verarschen lässt?
Manchmal kann es auch sehr vernünftig und verantwortungsvoll sein, etwas zu publizieren.
kantorkel
CCC Aachen
Flüpke