当前位置:首页 > 网络黑客 > 正文内容

包含敏感数据数千个 Firefox cookie 出现在 GitHub 存储库中

访客56年前 (1970-01-01)网络黑客773

包含敏感数据的数千个 Firefox cookie 数据库目前出现在 GitHub 的存储库中,这些数据可能用于劫持经过身份验证的会话。这些 cookies.sqlite 数据库通常位于 Firefox 配置文件文件夹中。它们用于在浏览会话之间存储 cookie。现在可以通过使用特定查询参数搜索 GitHub 来找到它们,这就是所谓的搜索“dork”。

总部位于伦敦的铁路旅行服务公司 Trainline 的安全工程师 Aidan Marlin 在通过 HackerOne 报告了他的发现,并被 GitHub 代表告知“我们用户暴露的凭据不在范围内后,提醒 The Register 这些文件的公开可用性。我们的漏洞赏金计划”。Marlin 然后问他是否可以公开他的发现,并被告知他可以自由这样做。

在发送给 The Register 的电子邮件中,Marlin 表示:“我很沮丧 GitHub 没有认真对待用户的安全和隐私。它至少可以防止这个 GitHub dork

的结果出现。如果上传这些 cookie 数据库的人知道他们做了什么,他们会尿裤子”。

Marlin 承认,受影响的 GitHub 用户在提交代码并将其推送到公共存储库时未能阻止他们的 cookies.sqlite 数据库被包含在内,因此应该受到一些指责。 “但是这个 dork 的点击量接近 4500 次,所以我认为 GitHub 也有注意的义务”。他说,并补充说他已经通知了英国信息专员办公室,因为个人信息处于危险之中。

Marlin 推测这种疏忽是从一个人的 Linux 主目录提交代码的结果。他解释说:“我想在大多数情况下,个人不知道他们已经上传了他们的 cookie 数据库,用户这样做的一个常见原因是跨多台机器的公共环境”。

Marlin 说,GitHub dorks 并不新鲜,但它们通常只影响单一服务,例如 AWS。这种特殊的失误令人不安,因为它可能允许攻击者访问任何面向互联网的网站,在提交 cookie 文件时,GitHub 用户已通过该网站进行身份验证。他补充说,可能也可以找到其他浏览器的傻瓜。

(消息及封面来源:cnBeta)

扫描二维码推送至手机访问。

版权声明:本文由黑客技术发布,如需转载请注明出处。

本文链接:https://w-123.com/32200.html

“包含敏感数据数千个 Firefox cookie 出现在 GitHub 存储库中” 的相关文章

SentinelLabs 敦促 Azure Defender for IoT 用户尽快安装补丁

SentinelOne 的 SentinelLabs 去年就曾发现 Microsoft Azure 的 Defender 存在多个安全漏洞,其中部分漏洞的严重程度和影响被评为“关键”。微软已经为所有的漏洞发布了补丁,但 SentinelLabs 敦促 Azure Defender for IoT 用...

Google 发布第 3 个紧急更新 修复 Chrome 中另一个零日漏洞

Google 今天发布了第 3 个紧急更新,修复了存在于 Chrome 浏览器中的另一个零日漏洞。周四,Google 面向 macOS、Windows 和 Linux 发布了 Chrome 100.0.4898.127 更新,会在未来几天内完成部署。 本次更新修复了追踪为 CVE-2022-1364...

黑客用新 Rootkit 攻击银行网络从 ATM 机上窃取资金

Hackernews 编译,转载请注明出处: 据观察,一个利益熏心的黑客正在部署一个全新的针对 Oracle Solaris 系统的 rootkit,目的是ATM机网络,并在不同银行使用伪造的卡进行未经授权的现金提款。 威胁情报和事件应急公司 Mandiant 正在追踪名为 UNC2891的组织,...

育碧通报网络安全事件 全公司已采取重置密码的预防措施

在周四的一份网络安全公告中,育碧(Ubisoft)证实该公司在上周遭遇了一起“网络安全事件”。尽管攻击尝试似乎未能造成破坏,但出于安全方面的考虑,育碧还是采取了全公司范围内的密码重置措施,以防发生其它意外。在此期间,育碧暂停了部分服务,但坚称没有玩家数据受到损害。截止发稿时,该公司旗下所有游戏和服...

提取指纹并不难:新安全实验表明只需少量成本就能解锁你的手机

相比较传统密码,在业内指纹被认为是更安全的数据保护形式。但事实上,指纹欺骗可能要比电影情节中所描述的操作要简单得多。根据 Kraken 安全实验室的说法,你所需要的只是一点木头胶水、一台激光打印机和一张醋酸纤维板。 几天前,这家加密货币交易公司在其官方博客上发表了一份报告,描述了如何进行“指纹破解...

faker.js 与 colors.js 开源库遭开发者恶意破坏 波及大量项目

尽管开源项目有着“众人拾柴火焰高”的特性,但也难防有人使坏。Bleeping Computer 报道称:近日一位开发者似乎故意破坏了 GitHub 和软件注册 npm 上的一对开源库(faker.js 和 colors.js)。由于成千上万的用户依赖这些库,本次恶意更新导致所有相关项目受到影响。...

评论列表

泪灼眼趣
3年前 (2022-06-01)

okie 数据库,用户这样做的一个常见原因是跨多台机器的公共环境”。Marlin 说,GitHub dorks 并不新鲜,但它们通常只影响单一服务,例如 AWS。这种特殊的失误令人不安,因为它可能允许攻击者访问任何面向互联网的网站,在提交

离鸢而川
3年前 (2022-06-01)

Marlin 在通过 HackerOne 报告了他的发现,并被 GitHub 代表告知“我们用户暴露的凭据不在范围内后,提醒 The Register 这些文件的公开可用性。我们的漏洞赏金计划”。Marlin 然后问

弦久倾酏
3年前 (2022-06-01)

之中。Marlin 推测这种疏忽是从一个人的 Linux 主目录提交代码的结果。他解释说:“我想在大多数情况下,个人不知道他们已经上传了他们的 cookie 数据库,用户这样做的一个常见原因是跨多台机器的公共环境”。Marlin 说,GitHub dork

澄萌做啡
3年前 (2022-06-01)

rlin 表示:“我很沮丧 GitHub 没有认真对待用户的安全和隐私。它至少可以防止这个 GitHub dork的结果出现。如果上传这些 cookie 数据库的人知道他们做了什么,他们会

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。