Beribu-ribu Firefox database cookie yang berisi data sensitif yang berpotensi digunakan untuk membajak sesi yang diautentikasi saat ini tersedia berdasarkan permintaan dari GitHub repositori.
As melaporkan by Pendaftaran dan pertama kali ditemukan oleh insinyur keamanan Aidan Marlin, database cookie.sqlite ini digunakan untuk menyimpan cookie di antara sesi penjelajahan dan biasanya ditemukan di folder profil Firefox pengguna. Namun, dengan mencari di GitHub menggunakan parameter kueri khusus yang dikenal sebagai pencarian "dork", mereka dapat ditemukan secara online.
Marlin menjangkau outlet berita setelah dia pertama kali mencoba melaporkan temuan temuannya ke GitHub melalui PeretasOne. Namun, perwakilan GitHub memberi tahu Marlin bahwa "kredensial yang diungkapkan oleh pengguna kami tidak termasuk dalam program Bug Bounty kami". Dia kemudian bertanya kepada GitHub apakah dia dapat mempublikasikan temuannya dan memberikan rincian lebih lanjut tentang masalah tersebut kepada Pendaftaran dalam email, mengatakan:
“Saya frustrasi karena GitHub tidak menganggap serius keamanan dan privasi penggunanya. Paling tidak yang bisa dilakukan adalah mencegah hasil yang muncul untuk dork GitHub ini. Jika individu yang mengunggah basis data cookie ini diberitahu tentang apa yang telah mereka lakukan, mereka akan mengotori celana mereka.”
Database cookie yang tidak sengaja terekspos
Pengguna yang terpengaruh secara tidak sengaja mengunggah database cookies.sqlite mereka sendiri saat melakukan kode dan mendorongnya ke repositori publik mereka di GitHub. Namun, karena dork ini menghasilkan hampir 4.5 ribu hasil, Marlin yakin GitHub harus berbuat lebih banyak dan dia juga telah memperingatkan Kantor Komisaris Informasi Inggris bahwa informasi pribadi pengguna dalam bahaya.
Menurut Marlin, dia percaya bahwa pengguna secara tidak sengaja mengunggah database cookie.sqlite mereka dengan melakukan kode dari mereka sendiri Linux direktori rumah. Kemungkinan besar individu yang terlibat mungkin bahkan tidak menyadari bahwa mereka meletakkan database cookie mereka secara online untuk ditemukan orang lain.
Keamanan pengguna yang terpengaruh juga berisiko karena penyerang dapat mengunduh basis data cookie mereka dan meletakkannya di folder milik profil Firefox yang baru dibuat di mesin lokal mereka. Ini akan memungkinkan mereka untuk diautentikasi pada layanan apa pun yang digunakan pengguna saat mereka melakukan database mereka menurut Marlin.
Dalam email ke Pendaftaran, juru bicara Mozilla mengkonfirmasi teori Marlin dan menjelaskan bahwa pengembang harus menggunakan Firefox Sync saat menggunakan layanan hosting kode seperti GitHub, dengan mengatakan:
“Melindungi privasi pengguna internet adalah inti dari pekerjaan Mozilla. Saat menggunakan layanan hosting kode, kami mendorong pengguna untuk berhati-hati saat mempertimbangkan berbagi data pribadi secara langsung di situs web publik. Saat memilih untuk mencadangkan data profil Firefox yang sensitif, Mozilla merekomendasikan Firefox Sync, yang mengenkripsi dan menyimpan file dengan aman di dalam server Firefox.”
Kami juga telah menampilkan browser terbaik, perlindungan pencurian identitas terbaik dan pengelola kata sandi terbaik
melalui Pendaftaran
