包含敏感資料的數千個 Firefox cookie 資料庫目前出現在 GitHub 的儲存庫中,這些資料可能用於劫持經過身份驗證的會話。
這些 cookies。sqlite 資料庫通常位於 Firefox 配置檔案資料夾中。它們用於在瀏覽會話之間儲存 cookie。現在可以透過使用特定查詢引數搜尋 GitHub 來找到它們,這就是所謂的搜尋“dork”。
總部位於倫敦的鐵路旅行服務公司 Trainline 的安全工程師 Aidan Marlin 在透過 HackerOne 報告了他的發現,並被 GitHub 代表告知“我們使用者暴露的憑據不在範圍內後,提醒 The Register 這些檔案的公開可用性。我們的漏洞賞金計劃”。Marlin 然後問他是否可以公開他的發現,並被告知他可以自由這樣做。
在傳送給 The Register 的電子郵件中,Marlin 表示:“我很沮喪 GitHub 沒有認真對待使用者的安全和隱私。它至少可以防止這個 GitHub dork
的結果出現。如果上傳這些 cookie 資料庫的人知道他們做了什麼,他們會尿褲子”。
Marlin 承認,受影響的 GitHub 使用者在提交程式碼並將其推送到公共儲存庫時未能阻止他們的 cookies。sqlite 資料庫被包含在內,因此應該受到一些指責。 “但是這個 dork 的點選量接近 4500 次,所以我認為 GitHub 也有注意的義務”。他說,並補充說他已經通知了英國資訊專員辦公室,因為個人資訊處於危險之中。
Marlin 推測這種疏忽是從一個人的 Linux 主目錄提交程式碼的結果。他解釋說:“我想在大多數情況下,個人不知道他們已經上傳了他們的 cookie 資料庫,使用者這樣做的一個常見原因是跨多臺機器的公共環境”。
Marlin 說,GitHub dorks 並不新鮮,但它們通常隻影響單一服務,例如 AWS。這種特殊的失誤令人不安,因為它可能允許攻擊者訪問任何面向網際網路的網站,在提交 cookie 檔案時,GitHub 使用者已透過該網站進行身份驗證。他補充說,可能也可以找到其他瀏覽器的傻瓜。
