Пользователи Firefox случайно загрузили свои базы данных файлов cookie в GitHub при фиксации кода

Тысячи баз данных файлов cookie Firefox, которые содержат конфиденциальные данные, которые потенциально могут быть использованы для перехвата аутентифицированных сеансов, в настоящее время доступны по запросу из репозиториев GitHub.

Пользователи Firefox случайно загрузили свои базы данных файлов cookie в GitHub при фиксации кода. Фото: Pexels

Как сообщает The Register, первым наличие баз данных заметил инженер безопасности Айдан Марлин. Они используются для хранения куки и , как правило , находятся в папках профиля пользователя Firefox. Однако, выполнив поиск на GitHub с использованием определенных параметров запроса, их можно найти в Интернете.

Марлин обратился к новостному агентству после того, как впервые попытался сообщить о своих находках на GitHub через HackerOne . Однако представитель GitHub сообщил Марлину, что «учетные данные, предоставленные нашими пользователями, не входят в нашу программу Bug Bounty».

Из сообщения инженера безопасности Айдан Марлин:

«Я разочарован тем, что GitHub не относится серьезно к безопасности и конфиденциальности своих пользователей. По крайней мере, администрация могла бы предотвратить появление результатов поиска в сети»

Пострадавшие пользователи случайно загрузили свою базу данных cookies.sqlite при фиксации кода и отправке его в свои общедоступные репозитории на GitHub. Поисковый запрос даёт 4,5 тысячи результатов, Марлин считает, что GitHub должен делать больше для конфиденциальности пользователей. Исследователь предупредил Управление комиссара по информации Великобритании о том, что личная информация пользователей находится под угрозой.

По словам Марлина, пользователи случайно загрузили свои базы данных cookies.sqlite, зафиксировав код из своего собственного домашнего каталога Linux . Скорее всего, вовлеченные люди, вероятно, даже не осознают, что они размещают свои базы данных файлов cookie в Интернете и их может найти кто-нибудь другой.

Злоумышленник может загрузить их базы данных файлов cookie и поместить их в папку, недавно созданному профилю Firefox на своем локальном компьютере. Это позволит им пройти аутентификацию на любых сервисах, в которые пользователи вошли в систему.

Из сообщения представителя Mozilla, направленного в The Register:

«Защита конфиденциальности интернет-пользователей лежит в основе работы Mozilla. При использовании услуг хостинга кода мы рекомендуем пользователям проявлять осторожность при рассмотрении вопроса о совместном использовании личных данных непосредственно на общедоступных веб-сайтах. При выборе резервного копирования конфиденциальных данных профиля Firefox Mozilla рекомендует Firefox Sync, который шифрует и безопасно хранит файлы на серверах Firefox»

Startpack подготовил раздел, в котором представлены инструменты для защиты информации, её безопасной передачи и хранения, а также внутрикорпоративного контроля сотрудников. Защиту от зловредов предоставляют известные антивирусные программы, передачу данных — почтовые программы с функциями шифрования, контроль за сотрудниками — сервисы видеонаблюдения через интернет. В раздел вошли также менеджеры паролей, безопасные облачные хранилища конфидента. Инструменты представлены в виде веб-сервисов, приложений. Их можно развернуть в облаке, на сервере или автономном ПК.

Статьи по теме