セキュリティ関連サイトComparitechの研究員らが、少なくとも768のサイトに影響を与える不具合を発見した。研究員のBob DiachenkoとSebastien Kaulによると、このエラーは2020年の米大統領選での再選を目指す、ドナルド・トランプの公式サイト「DonaldJTrump.com」でも発見されたという。
トランプの公式サイトは、ウェブベースのフレームワークの「Laravel」で制作されている。Diachenko とKaulらはLaravelで作成された768のサイトが、デバッグモード(debugging mode)のままで公開されていることを発見した。
デバッグモードは、エンジニアがプログラムのエラーや脆弱性を発見するためのモードで、本来は公開前のサイトで利用するものだ。デバッグモードの状態でサイトを一般公開することは、非常に大きなセキュリティリスクを引き起こす。
Comparitechの報告によると、これらの誤った設定のサイトはデータベースのロケーションや、パスワード、暗号キーなどのセンシティブな情報を露出させていたという。研究員らはDonaldJTump.comのサブドメインから、Eメールサーバの設定情報を含むテキストファイルの位置を確認できたという。しかも、そのデータは位置さえ分かっていれば、誰にでも閲覧可能な状態だった。
ハッカーがこのデータを悪用すれば、公式になりすましたEメールを送信したり、公式サイトに接続されたシステムに侵入することも可能になる。Comparitechによると、データ流出が起きた証拠は得られていないという。しかし、外部の第三者による不正アクセスがあったことは、十分想定可能だ。
DiachenkoとKaulらは10月11日に、この問題をDonaldJTrump.comの運営者に報告し、その5日後にトランプの選挙キャンペーン関係者とニューヨーク市警にコンタクトを取った結果、返信が得られたという。トランプのチームは、問題は既に解決済みであると返答したという。
ここから察するに、サイトの脆弱性は少なくとも数日間の間、放置されていたことになる。しかし、もっと長期間に渡り、問題が放置されていた可能性もある。
Comparitechのレポートでは、サーバーがどの程度の期間、デバッグモードのままで公開されていたかを突き止めるためには、さらに厳密な調査が必要だという。しかし、ここで問題となるのは、時間の長さではない。これほど著名なサイトのセキュリティが脆弱なまま放置されることは、「たとえわずかな時間でも十分に危険な事だ」とDiachenkoは話した。