Git es la herramienta más popular para el control de versiones de software. Fue creada por Linus Torvalds para facilitar el desarrollo del kernel de Linux, Git es una bendición para los desarrolladores de software ya que permite a los diferentes desarrolladores realizar un seguimiento de los cambios realizados en el código de cada paso realizado, lo que les permite elegir fácilmente qué cambios serán aceptados y cuáles no.

Desafortunadamente, los desarrolladores con menos experiencia no saben que Git rastrea los cambios almacenándolos en una carpeta oculta (.git). "Para los desarrolladores web, exponer su carpeta .git al mundo es un error de novatos. Permite que cualquiera pueda descargar todo su repositorio de código fuente, que a menudo incluye las contraseñas de bases de datos, salts, hashes y claves de API de terceros; o los nombres de usuario y contraseñas" advierte el desarrollador y consultor Jamie Brown.

Brown recientemente examinó una base de datos previamente compilada de cerca de 1.5 millones de "dominios respetables" que incluyen gobierno, dominios educativos, militares, así como sitios de noticias de alto perfil como BBC y The Guardian; descubrió que 2,402 tienen su carpeta .git expuesta y descargable. Si bien algunas de estas carpetas no contienen datos sensibles, otras sí, como las contraseñas de bases de datos, datos de FTP para servidores web, copias de seguridad y contenidos destinados a permanecer ocultos.

"Un importante grupo de derechos humanos expuso a cada persona que había firmado a favor de una campaña de derechos de los homosexuales (incluyendo su dirección postal y direcciones de correo electrónico) en un archivo CSV en su repositorio Git públicamente descargable desde su página web", señaló Brown. "Una empresa que vende informes digitales proporciona toda su base de datos de informes de forma gratuita a todo el que quisiera descargar su carpeta .git."

Se invita a los desarrolladores a comprobar si su carpeta .git está asegurada, si no, deben hacerlo de inmediato. También es necesario revisar qué tipo de información sensible podría haber sido visitada para reemplazarla (por ejemplo, contraseñas, llaves, etc.).

Comprobar si la carpeta es accesible es tan fácil como visitar http://www.tudominio.com/.git/.

"Lo ideal sería eliminar la carpeta y encontrar una mejor manera de implementar el código o al menos asegurarse que el acceso está prohibido utilizando un .htaccess", concluyó.