包含敏感數(shù)據(jù)的數(shù)千個 Firefox cookie 數(shù)據(jù)庫目前出現(xiàn)在 GitHub 的存儲庫中,這些數(shù)據(jù)可能用于劫持經(jīng)過身份驗證的會話。這些 cookies.sqlite 數(shù)據(jù)庫通常位于 Firefox 配置文件文件夾中。它們用于在瀏覽會話之間存儲 cookie。現(xiàn)在可以通過使用特定查詢參數(shù)搜索 GitHub 來找到它們,這就是所謂的搜索“dork”。
總部位于倫敦的鐵路旅行服務(wù)公司 Trainline 的安全工程師 Aidan Marlin 在通過 HackerOne 報告了他的發(fā)現(xiàn),并被 GitHub 代表告知“我們用戶暴露的憑據(jù)不在范圍內(nèi)后,提醒 The Register 這些文件的公開可用性。我們的漏洞賞金計劃”。Marlin 然后問他是否可以公開他的發(fā)現(xiàn),并被告知他可以自由這樣做。
在發(fā)送給 The Register 的電子郵件中,Marlin 表示:“我很沮喪 GitHub 沒有認(rèn)真對待用戶的安全和隱私。它至少可以防止這個 GitHub dork
的結(jié)果出現(xiàn)。如果上傳這些 cookie 數(shù)據(jù)庫的人知道他們做了什么,他們會尿褲子”。
Marlin 承認(rèn),受影響的 GitHub 用戶在提交代碼并將其推送到公共存儲庫時未能阻止他們的 cookies.sqlite 數(shù)據(jù)庫被包含在內(nèi),因此應(yīng)該受到一些指責(zé)。 “但是這個 dork 的點擊量接近 4500 次,所以我認(rèn)為 GitHub 也有注意的義務(wù)”。他說,并補(bǔ)充說他已經(jīng)通知了英國信息專員辦公室,因為個人信息處于危險之中。
Marlin 推測這種疏忽是從一個人的 Linux 主目錄提交代碼的結(jié)果。他解釋說:“我想在大多數(shù)情況下,個人不知道他們已經(jīng)上傳了他們的 cookie 數(shù)據(jù)庫,用戶這樣做的一個常見原因是跨多臺機(jī)器的公共環(huán)境”。
Marlin 說,GitHub dorks 并不新鮮,但它們通常只影響單一服務(wù),例如 AWS。這種特殊的失誤令人不安,因為它可能允許攻擊者訪問任何面向互聯(lián)網(wǎng)的網(wǎng)站,在提交 cookie 文件時,GitHub 用戶已通過該網(wǎng)站進(jìn)行身份驗證。他補(bǔ)充說,可能也可以找到其他瀏覽器的傻瓜。
【來源:希恩貝塔】
