É normal que eu veja os dados Redis de outras pessoas em hospedagem compartilhada? [fechadas]

40

O serviço Redis está disponível na minha hospedagem e, se eu o conectar por dinheiro, ele estará disponível apenas para mim, pois o Redis se eleva em um contêiner de docker separado.

Mas, se eu desligá-lo, o Redis ainda pode ser usado gratuitamente, embora em todo o servidor. E aqui estou me conectando aos Redis em todo o servidor:

$redis = new Redis ();
$redis->connect('127.0.0.1', 6379);

E vejo cerca de 300.000 registros de sites de outras pessoas.

$allKeys = $redis->keys('*');
echo(count($allKeys)); // ~300000
echo ($allKeys[10000]); // some data of some site
echo ($redis->get($allKeys[10000])); // some data of some site

E eu posso mudar todos os registros! Como isso:

$redis->set($allKeys[10000], 0);

Ou seja, alguém usa o Redis em todo o servidor e acredito que o usuário não esteja ciente da disponibilidade pública de seus dados. Ele acabou de ativar a caixa de seleção "Use Redis" em algum lugar do WordPress.

E a pergunta é: o provedor de hospedagem é responsável por isso? Afinal, um usuário comum acredita que seus dados são armazenados apenas em seu servidor e estão disponíveis apenas para ele.

A resposta do suporte técnico foi: está tudo bem.

Mas acho que não, então pergunto.

php redis Дмитрий Паймуллин
fonte
5
Potencialmente, apenas o seu próprio banco de dados está sendo exposto e agora está sendo utilizado por outra pessoa (como hospedar um site secreto / malicioso) ... Eu tive isso uma vez quando acidentalmente deixei um teste (não produção, sem dados / uso reais) redis servidor exposto na internet. Voltei em alguns dias para encontrar os dados de outra pessoa.
Mike Graf

Respostas:

25

Este provedor de hospedagem é responsável pela violação de segurança. Considerando os dez principais riscos de segurança de aplicativos da Web da OWASP, esse é um problema de poucos riscos de segurança: autenticação quebrada, exposição sensível a dados e controle de acesso interrompido.

Qual é o seu próximo passo é com você. Você deve informar o provedor de hospedagem, os usuários devem ser informados pelo provedor de hospedagem sobre a possível violação de dados. Essa é uma questão jurídica e de segurança muito séria, pois os dados possivelmente privados de alguém são acessíveis a outros usuários.

Veja: https://owasp.org/www-project-top-ten/

Nikola Kirincic
fonte
4
A resposta do suporte técnico foi: está tudo bem.
Дмитрий Паймуллин
15
@ ДмитрийПаймуллин, se você puder acessar os dados de alguns outros usuários, ele poderá acessar seus dados também. Isso não é seguro, e você deve considerar o uso deste provedor de hospedagem.
Nikola Kirincic 01/03
@NikolaKirincic Você precisa inserir um notantes consider.
Erkin Alp Güney
@NikolaKirincic Uma coisa importante a ser lembrada aqui é que, se não for anunciada como privada, é certo que eu acho que não usaria algo assim, mas, se estiver funcionando como um espaço compartilhado, isso não é um Violação de segurança.
Bruce Burge
5

Eu trabalho em hospedagem na web. Isso não está correto e significa que eles têm um sério problema em suas mãos! Peça um gerente ou supervisor. Se isso não levar a lugar algum, MOVE.

Pelo que você descreveu, eles têm usuários virtuais para usuários Redis que pagam por isso. Em vez de desativá-lo para todos os outros, eles parecem permitir que todos acessem o mesmo pool compartilhado, causando a violação de segurança que você descreveu.

Ryan Flowers
fonte
11
Oi - sua resposta seria mais construtiva com algumas explicações do porquê.
Howard E
Obrigado pela sugestão. Eu editei minha resposta inicial.
Ryan Flowers