Güvenlik araştırmacısı Fábio Castro, Son zamanlarda parolalar, API anahtarları ve AWS erişim token‘ları da dahil olmak üzere hassas bilgileri açığa çıkaran 28.116 yanlış yapılandırılmış Django uygulamasını keşfetti.
Fábio Castro, bunun, Django geliştiricilerinin hata ayıklama (debug) modunu devre dışı bırakmayı unutmasından kaynaklandığını belirtti. Hacker’lar, sistemin tamamen kontrolünü sağlamak için bu sızan verileri kullanabilir.
Bunun üzerine, birtakım incelemelerimiz sonrasında böyle bir uygulamanın son derece bazı hassas olabilecek bilgileri açığa çıkaracağını ve saldırganların sunucuda depolanan tüm verilere erişmesine izin verebileceğini doğruladık.
Şu an internet üzerinde çalışan 28.164 Django çalışan sunucu, çoğu gizli API anahtarları, veritabanı parolaları, Amazon AWS anahtarlarını gösteriyor.
Bu durumu önlemek için ise uygulamayı devreye alırken hata ayıklama modunun kapalı olduğundan emin olunuz.
