Исследование: около 5 млн веб-серверов по всему миру открывают доступ к служебным данным Git из-за ошибки в настройке

Сервис Mysterium VPN провёл масштабное сканирование сетевой инфраструктуры в 2026 году и выявил почти 5 млн веб-серверов по всему миру, которые оказались настроены с ошибкой и открывают доступ к служебным данным Git. Это создаёт риски утечки исходного кода и учётных данных. 

Проблема связана с тем, что скрытые каталоги репозиториев попадают в публичную часть сайтов и становятся доступны любому желающему.

Как напоминают исследователи, внутри каждого Git-репозитория хранится служебный каталог .git с историей изменений, настройками и техническими файлами. Если неправильно организовать развёртывание сайта, то эта папка может оказаться в открытом доступе, и любой сторонний юзер получает возможность восстановить структуру проекта, изучить внутреннюю логику приложения и найти секретные параметры.

Исследователи обнаружили 4 964 815 IP адресов, где метаданные Git доступны извне. В 252 733 случаях в файле .git/config находились данные для подключения к удалённым репозиториям и сервисам. Подобные записи нередко содержат логины, токены и пароли для автоматизированных процессов сборки и публикации кода. Таким образом, злоумышленник может захватить такой репозиторий и внедрить вредонос.

Например, открытая директория .git позволяет запросить служебные файлы вроде HEAD, index и config и на их основе собрать копию проекта при помощи общедоступных утилит. Далее злоумышленники находят встроенные ключи API, служебные адреса, скрытые маршруты администрирования и незащищённые модули. Они могут и повторно использовать учётные данные для подмены кода, изменений релизов и атак на цепочки поставок программного обеспечения.

Больше всего уязвимых серверов нашли в США (более 1,7 млн), а также в Германии, Франции, Индии, Сингапуре, Нидерландах, Японии,