数千用户将包含敏感数据的 Firefox cookie 数据库提交至 GitHub

简介: 数千用户将包含敏感数据的 Firefox cookie 数据库提交至 GitHub

据国外媒体报道,伦敦铁路旅行服务公司 Trainline 的安全工程师 Aidan Marlin 发现包含敏感数据的数千个Firefox cookie数据库出现在 GitHub 的存储库中,这些数据可能被用于劫持已经过身份验证的会话。

这些 cookie.sqlite 数据库通常位于 Firefox 配置文件文件夹中,用于在浏览会话之间存储 cookie。现在可以通过使用特定的查询参数在 GitHub 上搜索找到,这就是所谓的 “Github search dork”。

image.png

目前受影响的 GitHub 用户大多工作在跨多台计算机的公共环境,当他们从 Linux 主目录提交代码,并将其推送到公共存储库时,Sqlite 数据库就会被包含在内。

Marlin 坦言,用户在提交代码并将其推送到公共存储库时,并未主动阻止他们的 cookies.sqlite 数据库被包含在内,所以这个 cookie 泄露问题用户也占一定责任。

“但目前这个 GitHub dork 的点击量接近 4500 次,所以我认为 GitHub 也有义务重视此事件并将其修复。”

然而,Marlin 却被GitHub 代表告知“用户泄露的证书不在 Bug Bounty 计划的范围内”,这意味着Github 近期未打算发布补丁修复此问题。

Marlin 认为 GitHub 没有认真对待用户的安全和隐私,并称 GitHub 至少可以阻止这个GitHub dork 得到搜索结果。


相关文章
|
5月前
|
存储 监控 安全
安全规范问题之跟数据库交互涉及的敏感数据操作需要有哪些措施
安全规范问题之跟数据库交互涉及的敏感数据操作需要有哪些措施
|
存储 分布式数据库 调度
GitHub典藏版!腾讯T14级牛人亲码的分布式数据库实践,再次爆火
数据库就是要做好五件事,存储、事务、查询、复制和其他。而对分布式数据库来说,不仅要继续做这五件事,还要多出一件事,分片。在这六件事中,存储和其他这两件事与单体数据库差不多,难点就在事务、查询、复制和分片这四件。
|
7月前
|
数据采集 JSON 小程序
GitHub 开源数据库 chinese-poetry,最全中文诗歌古典文集数据库
GitHub 开源数据库 chinese-poetry,最全中文诗歌古典文集数据库
450 0
|
存储 NoSQL 中间件
GitHub数据库榜单第一:Redis核心原理实践PDF,点赞已过百万+
Redis是互联网技术领域使用最为广泛的存储中间件,它是「Remote DictionaryService」的首字母缩写,也就是「远程字典服务」。Redis 以其超高的性能、完美的文档、简洁易懂的源码和丰富的客户端库支持在开源中间件领域广受好评。国内外很多大型互联网公司都在使用Redis, 比如Twitter、YouPom、暴雪娱乐、Github、StackOverflow、 腾讯、阿里、京东、华为、新浪微博等等,很多中小型公司也都有应用。也可以说,对Redis的了解和应用实践已成为当下中高级后端开发者绕不开的必备技能。
|
运维 关系型数据库 MySQL
GitHub无抗手!MySQL DBA攻坚指南一出,阿里数据库专家都解脱了
大家可能并不觉得,数据库其实非常重要,每个业内巨头,每个成熟的互联网产品都有多个数据库系统,能保证大量并发场景下不出错,并非易事。尤其是银行、电商、电信、电力、航空等实时交易重要的环境中,可靠的数据库是重中之重,稳定压倒一切。
|
SQL 关系型数据库 MySQL
吹爆!阿里专家手码“数据库优化速成小册”Github现已疯传
现在在很多设计、开发、测试人员的眼中会认为SQL优化只是DBA 的事情。他们不需要去关心。反映到具体工作中,他们缺乏相应的优化意识,只注重功能的实现而忽略了相应的执行成本。最终的结果往往就是代码质量不高,软件上线后问题多。
|
存储 SQL 缓存
Github开发大神教你玩转数据库编程
Github开发大神教你玩转数据库编程
145 0
|
API
gitHub的readme页的卡片和提交活动图的制作方法
gitHub的readme页的卡片和提交活动图的制作方法
341 0
gitHub的readme页的卡片和提交活动图的制作方法
|
Linux 开发工具 git
linux 将本地代码提交至github上(新版图文详解)
linux 将本地代码提交至github上(新版图文详解)
linux 将本地代码提交至github上(新版图文详解)
|
开发工具 git
GitHub/GitLab 为不同的项目修改提交名字 user.name 和邮箱 user.email(附:批量处理脚本)
大疫情的背景下,家里的电脑需要同时支撑自己和公司的项目,根据 GitHub/GitLab 网站的提交记录上看,其是根据邮箱来辨识用户的,所以有必要分别针对不同的项目设置不同的 Git 名字(user.name)和邮箱(user.email)。
591 1