Исследователь нашёл на GitHub случайно загруженные пользователями cookie-файлы из Firefox

С помощью данных можно заходить на сайты под чужими логинами без пароля.

  • Через специальный поисковый запрос на GitHub можно найти данные cookies.sqlite пользователей Firefox, он выдаёт 4,5 тысячи результатов, рассказал британский эксперт Эйдан Марлин профильному изданию The Register. Марлин считает, что разработчики сами случайно загрузили свои данные вместе с другими в хранилище GitHub.
  • Марлин рассказал об ошибке в службу поддержки сервиса. Там пояснили, что «учётные данные, предоставленные пользователями сервиса, не входят в программу по поиску уязвимостей Bug Bounty». За поиск ошибок по программе пользователям платят деньги.
  • Через чужие cookies мошенники могут под разными логинами заходить на сайты, сбросить пароли и завладеть аккаунтами, говорят опрошенные изданием эксперты. По данным StatCounter, в октябре Mozilla Firefox пользовались 4,45% россиян.
55
38 комментариев

Ни ссылки на первоисточник, ни на репозиторий. Похоже на насильственные действия над журналистом.

22
Ответить

Кароч чел поискал по репозиториям и нашёл эти Файлы у разных пользователей, это не в одном месте кто-то собрал и выложил, и не в гитхабе Файрфокса, как можно было бы подумать.

Вот информация для желающих разобраться, остальные пройдут мимо.

https://nakedsecurity.sophos.com/2021/11/18/github-cookie-leakage-thousands-of-firefox-cookie-files-uploaded-by-mistake/amp/

UPD: исходная новость на The Register

https://www.theregister.com/2021/11/18/firefox_cookies_github/

10
Ответить

Да просто новость из ничего. "Пользователи по ошибке залили секьюрные данные".

9
Ответить

Как-то так:
https://github.com/search?p=2&q=filename%3Acookies.sqlite&type=Code

Новички коммитят директорию системного профиля, в которую попадает и директория с профилем браузера.

1
Ответить

Комментарий недоступен

Ответить

У меня знакомый так попал, случайно логин пароль на серваки Амазона выложил, в гитхабе ,естественно этим воспользовались )))

Ответить