ある日、、
「Repo Lookout」という団体から、僕個人のemailに「君のサイト脆弱性あるよ」といった旨の連絡が来ました。
開くと本文には、確かに僕が書いたであろうprivateなgitリポジトリへのコミットメッセージが記載されていたので、事実であることはすぐに分かりました。
問題
どうやら、僕がずっと昔に作った個人のWebサイトに、.gitディレクトリ配下へWeb上からアクセスできてしまう問題があるようです。
当時、プロジェクト直下をそのままドキュメントルートに設定してしまっていたため起きていました。
見られて問題になるようなプロジェクトではなかったのは幸いです。
Repo Lookout
この連絡を送ってきた団体は、脆弱性を突いて脅しをかけよう、といったような悪意のある団体ではなく、むしろその逆のようです。
このケースの脆弱性に特化して、世の中のWebサイトから同様の問題を持つサイトを検知し、所有者のemailへ修正を促す連絡をしているようです。
公式サイトには「私たちはウェブをより安全な場所にしたいだけです。」とあります。
ちなみに、連絡先のemailは、公開されてしまっている.gitの情報から入手しているそうです。
おわり
常日頃セキュリティ対策とかいうクリエイティブとは関係ないことに時間使わないといけないほど悪の蔓延るインターネットですが、こういうカッケー団体もいるってことを皆に紹介したい話でした。
そして、(そんな間抜けは僕くらいかもしれませんが、).gitディレクトリ(やその他非公開情報)がドキュメントルート下にうっかり置かれていないか気をつけよう…!