数千用户将包含敏感数据的 Firefox cookie 数据库提交至 GitHub

2021年11月23日 阅读数:7
这篇文章主要向大家介绍数千用户将包含敏感数据的 Firefox cookie 数据库提交至 GitHub,主要内容包括基础应用、实用技巧、原理机制等方面,希望对大家有所帮助。

据国外媒体报道,伦敦铁路旅行服务公司 Trainline 的安全工程师 Aidan Marlin 发现包含敏感数据的数千个Firefox cookie数据库出如今 GitHub 的存储库中,这些数据可能被用于劫持已通过身份验证的会话。sql

这些 cookie.sqlite 数据库一般位于 Firefox 配置文件文件夹中,用于在浏览会话之间存储 cookie。如今能够经过使用特定的查询参数在 GitHub 上搜索找到,这就是所谓的 “Github search dork”。数据库

目前受影响的 GitHub 用户大多工做在跨多台计算机的公共环境,当他们从 Linux 主目录提交代码,并将其推送到公共存储库时,Sqlite 数据库就会被包含在内。安全

Marlin 坦言,用户在提交代码并将其推送到公共存储库时,并未主动阻止他们的 cookies.sqlite 数据库被包含在内,因此这个 cookie 泄露问题用户也占必定责任。cookie

“但目前这个 GitHub dork 的点击量接近 4500 次,因此我认为 GitHub 也有义务重视此事件并将其修复。”spa

然而,Marlin 却被GitHub 表明告知“用户泄露的证书不在 Bug Bounty 计划的范围内”,这意味着Github 近期未打算发布补丁修复此问题。 sqlite

Marlin 认为 GitHub 没有认真对待用户的安全和隐私,并称 GitHub 至少能够阻止这个GitHub dork 获得搜索结果。事件