Support us

Cookie-файлы тысяч юзеров Firefox оказались на GitHub вместе с кодом

На GitHub обнаружили куки-файлы тысяч пользователей браузера Mozilla Firefox — теоретически, с помощью них злоумышленники могут заходить на сайты под видом этих пользователей, не зная их логины и пароли, пишет The Register.

Оставить комментарий
Cookie-файлы тысяч юзеров Firefox оказались на GitHub вместе с кодом

На GitHub обнаружили куки-файлы тысяч пользователей браузера Mozilla Firefox — теоретически, с помощью них злоумышленники могут заходить на сайты под видом этих пользователей, не зная их логины и пароли, пишет The Register.

Базы с конфиденциальной информацией доступны по определённому запросу на GitHub — он возвращает около 4,5 тысяч результатов. Проблему нашёл британский ИБ-специалист Эйдан Марлин. Она связана с файлами cookies.sqlite, в которых в папке пользовательского профиля браузер хранит куки сессий.

Причём пользователи, которых затрагивает проблема, скорее всего, даже не подозревают, что их данные находятся у всех на виду. Марлин считает, что файлы cookies.sqlite были загружены ими по ошибке вместе с коммитами в свои публичные репозитории. Он уточняет, что обычные пользователи Firefox, не пользующиеся GitHub, в безопасности.

Специалист обратился в GitHub, однако там ему сказали, что утечка учётных данных пользователями площадки не попадает под действие её баг-баунти программы. После этого он рассказал о ситуации изданию, отметив, что GitHub несерьёзно относится к конфиденциальности своих пользователей и мог бы по крайней мере ограничить выдачу результатов по запросу. А поскольку дело касается персональных данных, Марлин также сообщил в британское Управление Комиссара по информации.

Опасность состоит в том, что злоумышленник может скачать указанные файлы и поместить в папку вновь созданного Firefox-профиля на своём компьютере. Это обеспечит автоматическую авторизацию в любых сервисах, на которых её проходила жертва к тому моменту, когда эти файлы попали на GitHub.

Представитель Mozilla подтвердил опасения Марлина. В GitHub на просьбу о комментарии The Register не ответили.

16 лет dev.by — «дефолтный» источник информации о беларусском ИТ

Вы можете...

Читайте также
Разработчик пиратского софта сдал коллегу, который «спиратил» его код
Разработчик пиратского софта сдал коллегу, который «спиратил» его код
Разработчик пиратского софта сдал коллегу, который «спиратил» его код
Oracle собрала досье на 5 млрд людей и делает на них миллиарды долларов. Получила иск
Oracle собрала досье на 5 млрд людей и делает на них миллиарды долларов. Получила иск
Oracle собрала досье на 5 млрд людей и делает на них миллиарды долларов. Получила иск
Flo ответила на критику Mozilla о защите приватности
Flo ответила на критику Mozilla о защите приватности
Flo ответила на критику Mozilla о защите приватности
2 комментария
Mozilla отчитала Flo за беспорядок в политике приватности и обвинила в обмане пользовательниц
Mozilla отчитала Flo за беспорядок в политике приватности и обвинила в обмане пользовательниц
Mozilla отчитала Flo за беспорядок в политике приватности и обвинила в обмане пользовательниц
1 комментарий

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментируйте без ограничений

Релоцировались? Теперь вы можете комментировать без верификации аккаунта.

Комментариев пока нет.