包含敏感數據的數千個 Firefox cookie 數據庫目前出現在 GitHub 的存儲庫中,這些數據可能用於劫持經過身份驗證的會話。這些 cookies.sqlite 數據庫通常位於 Firefox 配置文件文件夾中。它們用於在瀏覽會話之間存儲 cookie。現在可以通過使用特定查詢參數搜索 GitHub 來找到它們,這就是所謂的搜索“dork”。
總部位於倫敦的鐵路旅行服務公司 Trainline 的安全工程師 Aidan Marlin 在通過 HackerOne 報告了他的發現,並被 GitHub 代表告知“我們用戶暴露的憑據不在範圍內后,提醒 The Register 這些文件的公開可用性。我們的漏洞賞金計劃”。Marlin 然後問他是否可以公開他的發現,並被告知他可以自由這樣做。
在發送給 The Register 的電子郵件中,Marlin 表示:“我很沮喪 GitHub 沒有認真對待用戶的安全和隱私。它至少可以防止這個 GitHub dork
的結果出現。如果上傳這些 cookie 數據庫的人知道他們做了什麼,他們會尿褲子”。
Marlin 承認,受影響的 GitHub 用戶在提交代碼並將其推送到公共存儲庫時未能阻止他們的 cookies.sqlite 數據庫被包含在內,因此應該受到一些指責。 “但是這個 dork 的點擊量接近 4500 次,所以我認為 GitHub 也有注意的義務”。他說,並補充說他已經通知了英國信息專員辦公室,因為個人信息處於危險之中。
Marlin 推測這種疏忽是從一個人的 Linux 主目錄提交代碼的結果。他解釋說:“我想在大多數情況下,個人不知道他們已經上傳了他們的 cookie 數據庫,用戶這樣做的一個常見原因是跨多台機器的公共環境”。
Marlin 說,GitHub dorks 並不新鮮,但它們通常隻影響單一服務,例如 AWS。這種特殊的失誤令人不安,因為它可能允許攻擊者訪問任何面向互聯網的網站,在提交 cookie 文件時,GitHub 用戶已通過該網站進行身份驗證。他補充說,可能也可以找到其他瀏覽器的傻瓜。