据国外媒体报道,伦敦铁路旅行服务公司 Trainline 的平安工程师 Aidan Marlin 发现 蕴含敏感数据的数千个 Firefox cookie 数据库呈现在 GitHub 的存储库中,这些数据可能被用于劫持曾经过身份验证的会话。
这些 cookie.sqlite 数据库通常位于 Firefox 配置文件文件夹中,用于在浏览会话之间存储 cookie。当初能够通过应用特定的查问参数在 GitHub 上搜寻找到,这就是所谓的“Github search dork”。
目前受影响的 GitHub 用户大多工作在跨多台计算机的公共环境,当他们从 Linux 主目录提交代码,并将其推送到公共存储库时,Sqlite 数据库就会被蕴含在内。
Marlin 坦言,用户在提交代码并将其推送到公共存储库时,并未被动阻止他们的 cookies.sqlite 数据库被蕴含在内,所以这个 cookie 泄露问题用户也占肯定责任。
“但目前这个 GitHub dork 的点击量靠近 4500 次,所以我认为 GitHub 也有任务器重此事件并将其修复。”
然而,Marlin 却被 GitHub 代表告知“用户泄露的证书不在 Bug Bounty 打算的范畴内”,这意味着 Github 近期未打算公布补丁修复此问题。
Marlin 认为 GitHub 没有认真对待用户的平安和隐衷,并称 GitHub 至多能够阻止这个 GitHub dork 失去搜寻后果。