Actuellement, des milliers de bases de données de cookies Firefox contenant des données sensibles pouvant être utilisées pour détourner des sessions authentifiées sont disponibles sur demande dans les référentiels GitHub.
Comme rapporté par The Register et repéré pour la première fois par l'ingénieur en sécurité Aidan Marlin, ces bases de données cookies.sqlite sont utilisées pour stocker les cookies entre les sessions de navigation et sont généralement situées dans le dossier des profils Firefox d'un utilisateur. Cependant, en effectuant une recherche sur GitHub à l'aide de paramètres de requête spécifiques appelés recherche « idiote », ils peuvent être trouvés en ligne.
Marlin a contacté les médias après avoir tenté pour la première fois de rapporter ses découvertes à GitHub via HackerOne. Cependant, un représentant de GitHub a informé Marlin que « les informations d'identification exposées par nos utilisateurs ne sont pas couvertes par notre programme Bug Bounty ». Il a ensuite demandé à GitHub s'il pouvait rendre publiques ses conclusions et a fourni plus de détails à ce sujet à The Register dans un e-mail, en disant :
"Je suis frustré que GitHub ne prenne pas au sérieux la sécurité et la confidentialité de ses utilisateurs. Le moins que vous puissiez faire est d'éviter les résultats de cet idiot de GitHub. Si les personnes qui ont téléchargé ces bases de données ont des cookies, elles ont été informées de ce qu'elles feraient. fais, baise ton pantalon."
Bases de données de cookies exposées accidentellement
Les utilisateurs concernés ont accidentellement chargé leur propre base de données cookies.sqlite lors de la validation du code et de son transfert vers leurs référentiels publics sur GitHub. Cependant, avec cet idiot affichant près de 4.5,000 XNUMX vues, Marlin estime que GitHub devrait faire plus et a également alerté le bureau du commissaire à l'information du Royaume-Uni que les informations personnelles des utilisateurs sont en danger.
Selon Marlin, il pense que les utilisateurs ont accidentellement téléchargé leurs bases de données cookies.sqlite en écrivant du code à partir de leur propre répertoire personnel Linux. Il y a de fortes chances que les personnes impliquées ne se rendent même pas compte qu'elles mettent leurs bases de données de cookies en ligne afin que quelqu'un d'autre puisse les trouver.
La sécurité des utilisateurs concernés est également menacée car un attaquant pourrait télécharger leurs bases de données de cookies et les placer dans un dossier appartenant à un profil Firefox nouvellement créé sur leur ordinateur local. Cela leur permettrait de s'authentifier auprès de n'importe quel service auquel les utilisateurs étaient connectés lorsqu'ils validaient leurs bases de données, selon Marlin.
Dans un e-mail adressé à The Register, un porte-parole de Mozilla a confirmé la théorie de Marlin et expliqué que les développeurs devraient utiliser Firefox Sync lorsqu'ils utilisent des services d'hébergement de code comme GitHub, en disant :
« La protection de la vie privée des utilisateurs d'Internet est au cœur du travail de Mozilla. Lors de l’utilisation de services d’hébergement de code, nous recommandons aux utilisateurs d’être prudents lorsqu’ils envisagent de partager des données privées directement sur des sites Web publics. Lorsque vous choisissez de sauvegarder les données sensibles du profil Firefox, Mozilla recommande Firefox Sync, qui crypte et stocke en toute sécurité les fichiers sur les serveurs Firefox. »
Nous proposons également les meilleurs navigateurs, la meilleure protection contre le vol d'identité et le meilleur gestionnaire de mots de passe.
Par le registre