包含敏感數據的數千個 Firefox cookie 數據庫目前出現在 GitHub 的存儲庫中,這些數據可能用于劫持經過身份驗證的會話。這些 cookies.sqlite 數據庫通常位于 Firefox 配置文件文件夾中。它們用于在瀏覽會話之間存儲 cookie。現在可以通過使用特定查詢參數搜索 GitHub 來找到它們,這就是所謂的搜索“dork”。
總部位于倫敦的鐵路旅行服務公司 Trainline 的安全工程師 Aidan Marlin 在通過 HackerOne 報告了他的發現,并被 GitHub 代表告知“我們用戶暴露的憑據不在范圍內后,提醒 The Register 這些文件的公開可用性。我們的漏洞賞金計劃”。Marlin 然后問他是否可以公開他的發現,并被告知他可以自由這樣做。
在發送給 The Register 的電子郵件中,Marlin 表示:“我很沮喪 GitHub 沒有認真對待用戶的安全和隱私。它至少可以防止這個 GitHub dork
的結果出現。如果上傳這些 cookie 數據庫的人知道他們做了什么,他們會尿褲子”。
Marlin 承認,受影響的 GitHub 用戶在提交代碼并將其推送到公共存儲庫時未能阻止他們的 cookies.sqlite 數據庫被包含在內,因此應該受到一些指責。 “但是這個 dork 的點擊量接近 4500 次,所以我認為 GitHub 也有注意的義務”。他說,并補充說他已經通知了英國信息專員辦公室,因為個人信息處于危險之中。
Marlin 推測這種疏忽是從一個人的 Linux 主目錄提交代碼的結果。他解釋說:“我想在大多數情況下,個人不知道他們已經上傳了他們的 cookie 數據庫,用戶這樣做的一個常見原因是跨多臺機器的公共環境”。
Marlin 說,GitHub dorks 并不新鮮,但它們通常只影響單一服務,例如 AWS。這種特殊的失誤令人不安,因為它可能允許攻擊者訪問任何面向互聯網的網站,在提交 cookie 文件時,GitHub 用戶已通過該網站進行身份驗證。他補充說,可能也可以找到其他瀏覽器的傻瓜。
【來源:希恩貝塔】
