包含敏感數據數千個Firefox cookie出現在GitHub存儲庫中
包含敏感數據的數千個 Firefox cookie 資料庫目前出現在 GitHub 的儲存庫中,這些數據可能用於劫持經過身份驗證的會話。 這些 cookies.sqlite 資料庫通常位於 Firefox 設定檔資料夾中。 它們用於在瀏覽會話之間存儲cookie。 現在可以通過使用特定查詢參數搜索 GitHub 來找到它們,這就是所謂的搜索”dork”。
總部位於倫敦的鐵路旅行服務公司 Trainline 的安全工程師 Aidan Marlin 在通過 HackerOne 報告了他的發現,並被 GitHub 代表告知”我們使用者暴露的憑據不在範圍內後,提醒 The Register 這些文件的公開可用性。 我們的漏洞賞金計劃」。 Marlin 然後問他是否可以公開他的發現,並被告知他可以自由這樣做。
在發送給 The Register 的電子郵件中,Marlin 表示:”我很沮喪 GitHub 沒有認真對待使用者的安全和隱私。 它至少可以防止這個 GitHub dork
的結果出現。 如果上傳這些cookie資料庫的人知道他們做了什麼,他們會尿褲子」。
Marlin 承認,受影響的 GitHub 使用者在提交代碼並將其推送到公共存儲庫時未能阻止他們的 cookies.sqlite 資料庫被包含在內,因此應該受到一些指責。 “但是這個 dork 的點擊量接近 4500 次,所以我認為 GitHub 也有注意的義務”。 他說,並補充說他已經通知了英國資訊專員辦公室,因為個人資訊處於危險之中。
Marlin 推測這種疏忽是從一個人的 Linux 主目錄提交代碼的結果。 他解釋說:「我想在大多數情況下,個人不知道他們已經上傳了他們的cookie資料庫,使用者這樣做的一個常見原因是跨多台機器的公共環境」。
Marlin 說,GitHub dorks 並不新鮮,但它們通常只影響單一服務,例如 AWS。 這種特殊的失誤令人不安,因為它可能允許攻擊者訪問任何面向互聯網的網站,在提交 cookie 檔時,GitHub 使用者已通過該網站進行身份驗證。 他補充說,可能也可以找到其他瀏覽器的傻瓜。