包含敏感數(shù)據(jù)的數(shù)千個(gè) Firefox cookie 數(shù)據(jù)庫目前出現(xiàn)在 GitHub 的存儲(chǔ)庫中,這些數(shù)據(jù)可能用于劫持經(jīng)過身份驗(yàn)證的會(huì)話。這些 cookies.sqlite 數(shù)據(jù)庫通常位于 Firefox 配置文件文件夾中。它們用于在瀏覽會(huì)話之間存儲(chǔ) cookie。現(xiàn)在可以通過使用特定查詢參數(shù)搜索 GitHub 來找到它們,這就是所謂的搜索“dork”。
總部位于倫敦的鐵路旅行服務(wù)公司 Trainline 的安全工程師 Aidan Marlin 在通過 HackerOne 報(bào)告了他的發(fā)現(xiàn),并被 GitHub 代表告知“我們用戶暴露的憑據(jù)不在范圍內(nèi)后,提醒 The Register 這些文件的公開可用性。我們的漏洞賞金計(jì)劃”。Marlin 然后問他是否可以公開他的發(fā)現(xiàn),并被告知他可以自由這樣做。
在發(fā)送給 The Register 的電子郵件中,Marlin 表示:“我很沮喪 GitHub 沒有認(rèn)真對(duì)待用戶的安全和隱私。它至少可以防止這個(gè) GitHub dork
的結(jié)果出現(xiàn)。如果上傳這些 cookie 數(shù)據(jù)庫的人知道他們做了什么,他們會(huì)尿褲子”。
Marlin 承認(rèn),受影響的 GitHub 用戶在提交代碼并將其推送到公共存儲(chǔ)庫時(shí)未能阻止他們的 cookies.sqlite 數(shù)據(jù)庫被包含在內(nèi),因此應(yīng)該受到一些指責(zé)。 “但是這個(gè) dork 的點(diǎn)擊量接近 4500 次,所以我認(rèn)為 GitHub 也有注意的義務(wù)”。他說,并補(bǔ)充說他已經(jīng)通知了英國信息專員辦公室,因?yàn)閭€(gè)人信息處于危險(xiǎn)之中。
Marlin 推測(cè)這種疏忽是從一個(gè)人的 Linux 主目錄提交代碼的結(jié)果。他解釋說:“我想在大多數(shù)情況下,個(gè)人不知道他們已經(jīng)上傳了他們的 cookie 數(shù)據(jù)庫,用戶這樣做的一個(gè)常見原因是跨多臺(tái)機(jī)器的公共環(huán)境”。
Marlin 說,GitHub dorks 并不新鮮,但它們通常只影響單一服務(wù),例如 AWS。這種特殊的失誤令人不安,因?yàn)樗赡茉试S攻擊者訪問任何面向互聯(lián)網(wǎng)的網(wǎng)站,在提交 cookie 文件時(shí),GitHub 用戶已通過該網(wǎng)站進(jìn)行身份驗(yàn)證。他補(bǔ)充說,可能也可以找到其他瀏覽器的傻瓜。
【來源:希恩貝塔】
