Miles de Firefox As bases de datos de cookies que conteñen datos confidenciais que poderían utilizarse para secuestrar sesións autenticadas están dispoñibles actualmente a petición de GitHub repositorios.
As informar by O rexistro e detectadas por primeira vez polo enxeñeiro de seguridade Aidan Marlin, estas bases de datos cookies.sqlite úsanse para almacenar cookies entre sesións de navegación e normalmente atópanse no cartafol de perfís de Firefox do usuario. Non obstante, ao buscar en GitHub mediante parámetros de consulta específicos coñecidos como "dork" de busca, pódense atopar en liña.
Marlin púxose en contacto co medio de noticias despois de que intentou informar por primeira vez dos seus descubrimentos a GitHub. HackerOne. Non obstante, un representante de GitHub informou a Marlin de que "as credenciais expostas polos nosos usuarios non están no ámbito do noso programa Bug Bounty". Despois preguntoulle a GitHub se podía facer públicos os seus descubrimentos e proporcionoulle máis detalles sobre o asunto O rexistro nun correo electrónico, dicindo:
"Estou frustrado porque GitHub non se tome en serio a seguridade e a privacidade dos seus usuarios. O mínimo que pode facer é evitar que aparezan resultados para este idiota de GitHub. Se os individuos que cargaron estas bases de datos de cookies fosen conscientes do que fixeron, s***rían os pantalóns".
Bases de datos de cookies expostas accidentalmente
Os usuarios afectados cargaron accidentalmente a súa propia base de datos cookies.sqlite ao cometer código e envialo aos seus repositorios públicos en GitHub. Non obstante, dado que este idiota obtén case 4.5 mil resultados, Marlin cre que GitHub debería facer máis e tamén alertou ao Oficina do Comisionado de Información do Reino Unido que a información persoal dos usuarios estea en perigo.
Segundo Marlin, cre que os usuarios cargaron accidentalmente as súas bases de datos cookies.sqlite ao cometer código do seu propio Linux directorio de inicio. O máis probable é que as persoas implicadas nin sequera se dean conta de que puxeron as súas bases de datos de cookies en liña para que calquera outra persoa as atope.
A seguridade dos usuarios afectados tamén está en risco xa que un atacante podería descargar as súas bases de datos de cookies e colocalas nun cartafol pertencente a un perfil de Firefox recentemente creado na súa máquina local. Isto permitiríalles ser autenticados en calquera servizo nos que os usuarios estaban conectados cando comprometeron as súas bases de datos segundo Marlin.
Nun correo electrónico para O rexistro, un portavoz de Mozilla confirmou a teoría de Marlin e explicou que os desenvolvedores deberían usar Sincronización do Firefox ao usar servizos de hospedaxe de código como GitHub, dicindo:
"Protexer a privacidade dos usuarios de Internet é o núcleo do traballo de Mozilla. Ao usar servizos de hospedaxe de código, recomendamos aos usuarios que teñan precaución cando consideren compartir datos privados directamente en sitios web públicos. Ao elixir facer unha copia de seguridade dos datos confidenciais do perfil de Firefox, Mozilla recomenda Firefox Sync, que cifra e almacena os ficheiros de forma segura nos servidores de Firefox.
Tamén presentamos o mellores navegadores, mellor protección contra o roubo de identidade mellor xestor de contrasinais
Vía O rexistro
