数以千计的Firefoxcookie数据库包含可能用于劫持经过身份验证的会话的敏感数据,目前可应GitHub存储库的请求提供。正如报道的登记册,并首先由安全工程师艾丹马林发现,这些cookies.sqlite数据库用于存储cookie浏览会话之间和在用户的Firefox配置文件夹,通常发现。但是,通过使用称为搜索“dork”的特定查询参数搜索GitHub,可以在线找到它们。
在Marlin第一次尝试通过HackerOne向GitHub报告他的发现后,他联系了新闻媒体。但是,GitHub代表告知Marlin,“我们用户公开的凭据不在我们的漏洞赏金计划范围内”。然后他询问GitHub是否可以公开他的发现,并在一封电子邮件中向TheRegister提供了有关此事的更多详细信息,他说:
“我很沮丧GitHub没有认真对待用户的安全和隐私。它至少可以阻止这个GitHub傻瓜的结果。如果上传这些cookie数据库的个人知道他们会做什么完了,他们会尿裤子的。”
受影响的用户在提交代码并将其推送到他们在GitHub上的公共存储库时不小心上传了他们自己的cookies.sqlite数据库。然而,由于这个笨蛋的结果接近4.5k,Marlin认为GitHub应该做得更多,他还警告英国信息专员办公室,用户的个人信息处于危险之中。
根据Marlin的说法,他认为用户通过从他们自己的Linux主目录提交代码而意外上传了他们的cookies.sqlite数据库。很可能涉及的个人甚至可能没有意识到他们将自己的cookie数据库放在网上供其他人查找。
受影响用户的安全也面临风险,因为攻击者可以下载他们的cookie数据库并将它们放在属于他们本地计算机上新创建的Firefox配置文件的文件夹中。根据Marlin的说法,这将允许他们在用户提交数据库时登录的任何服务上进行身份验证。
在给TheRegister的一封电子邮件中,Mozilla发言人证实了Marlin的理论,并解释说开发人员在使用GitHub等代码托管服务时应该使用FirefoxSync,他说:
“保护 用户的隐私是Mozilla工作的核心。在使用代码托管服务时,我们鼓励用户在考虑直接在公共网站上共享私人数据时要谨慎。在选择备份敏感的Firefox配置文件数据时,Mozilla建议FirefoxSync,它加密并安全地将文件存储在Firefox服务器中。”
标签: