Cookie-файлы тысяч юзеров Firefox оказались на GitHub вместе с кодом
На GitHub обнаружили куки-файлы тысяч пользователей браузера Mozilla Firefox — теоретически, с помощью них злоумышленники могут заходить на сайты под видом этих пользователей, не зная их логины и пароли, пишет The Register.
Базы с конфиденциальной информацией доступны по определённому запросу на GitHub — он возвращает около 4,5 тысяч результатов. Проблему нашёл британский ИБ-специалист Эйдан Марлин. Она связана с файлами cookies.sqlite, в которых в папке пользовательского профиля браузер хранит куки сессий.
Причём пользователи, которых затрагивает проблема, скорее всего, даже не подозревают, что их данные находятся у всех на виду. Марлин считает, что файлы cookies.sqlite были загружены ими по ошибке вместе с коммитами в свои публичные репозитории. Он уточняет, что обычные пользователи Firefox, не пользующиеся GitHub, в безопасности.
Специалист обратился в GitHub, однако там ему сказали, что утечка учётных данных пользователями площадки не попадает под действие её баг-баунти программы. После этого он рассказал о ситуации изданию, отметив, что GitHub несерьёзно относится к конфиденциальности своих пользователей и мог бы по крайней мере ограничить выдачу результатов по запросу. А поскольку дело касается персональных данных, Марлин также сообщил в британское Управление Комиссара по информации.
Опасность состоит в том, что злоумышленник может скачать указанные файлы и поместить в папку вновь созданного Firefox-профиля на своём компьютере. Это обеспечит автоматическую авторизацию в любых сервисах, на которых её проходила жертва к тому моменту, когда эти файлы попали на GitHub.
Представитель Mozilla подтвердил опасения Марлина. В GitHub на просьбу о комментарии The Register не ответили.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.