Cookie-файлы тысяч юзеров Firefox оказались на GitHub вместе с кодом

Базы с конфиденциальной информацией доступны по определённому запросу на GitHub — он возвращает около 4,5 тысяч результатов. Проблему нашёл британский ИБ-специалист Эйдан Марлин. Она связана с файлами cookies.sqlite, в которых в папке пользовательского профиля браузер хранит куки сессий.

Причём пользователи, которых затрагивает проблема, скорее всего, даже не подозревают, что их данные находятся у всех на виду. Марлин считает, что файлы cookies.sqlite были загружены ими по ошибке вместе с коммитами в свои публичные репозитории. Он уточняет, что обычные пользователи Firefox, не пользующиеся GitHub, в безопасности.

Специалист обратился в GitHub, однако там ему сказали, что утечка учётных данных пользователями площадки не попадает под действие её баг-баунти программы. После этого он рассказал о ситуации изданию, отметив, что GitHub несерьёзно относится к конфиденциальности своих пользователей и мог бы по крайней мере ограничить выдачу результатов по запросу. А поскольку дело касается персональных данных, Марлин также сообщил в британское Управление Комиссара по информации.

Опасность состоит в том, что злоумышленник может скачать указанные файлы и поместить в папку вновь созданного Firefox-профиля на своём компьютере. Это обеспечит автоматическую авторизацию в любых сервисах, на которых её проходила жертва к тому моменту, когда эти файлы попали на GitHub.

Представитель Mozilla подтвердил опасения Марлина. В GitHub на просьбу о комментарии The Register не ответили.