Исследователь нашёл на GitHub случайно загруженные пользователями cookie-файлы из Firefox Статьи редакции
С помощью данных можно заходить на сайты под чужими логинами без пароля.
- Через специальный поисковый запрос на GitHub можно найти данные cookies.sqlite пользователей Firefox, он выдаёт 4,5 тысячи результатов, рассказал британский эксперт Эйдан Марлин профильному изданию The Register. Марлин считает, что разработчики сами случайно загрузили свои данные вместе с другими в хранилище GitHub.
- Марлин рассказал об ошибке в службу поддержки сервиса. Там пояснили, что «учётные данные, предоставленные пользователями сервиса, не входят в программу по поиску уязвимостей Bug Bounty». За поиск ошибок по программе пользователям платят деньги.
- Через чужие cookies мошенники могут под разными логинами заходить на сайты, сбросить пароли и завладеть аккаунтами, говорят опрошенные изданием эксперты. По данным StatCounter, в октябре Mozilla Firefox пользовались 4,45% россиян.
0
показов
12K
открытий
Ни ссылки на первоисточник, ни на репозиторий. Похоже на насильственные действия над журналистом.
Кароч чел поискал по репозиториям и нашёл эти Файлы у разных пользователей, это не в одном месте кто-то собрал и выложил, и не в гитхабе Файрфокса, как можно было бы подумать.
Вот информация для желающих разобраться, остальные пройдут мимо.
https://nakedsecurity.sophos.com/2021/11/18/github-cookie-leakage-thousands-of-firefox-cookie-files-uploaded-by-mistake/amp/
UPD: исходная новость на The Register
https://www.theregister.com/2021/11/18/firefox_cookies_github/
Да просто новость из ничего. "Пользователи по ошибке залили секьюрные данные".
UPD: исходная новость на The Register
https://www.theregister.com/2021/11/18/firefox_cookies_github/
Как-то так:
https://github.com/search?p=2&q=filename%3Acookies.sqlite&type=Code
Новички коммитят директорию системного профиля, в которую попадает и директория с профилем браузера.
Комментарий недоступен
У меня знакомый так попал, случайно логин пароль на серваки Амазона выложил, в гитхабе ,естественно этим воспользовались )))
Исследователь, похоже, в теме не сечет, ибо судя по статье попытался стрясти баблишко с гитхаба по программе поиска уязвимостей:
В GitHub ответили исследователю, что «учётные данные, предоставленные пользователями сервиса, не входят в сферу охвата программы по поиску уязвимостей»Причем тут вообще гитхаб?! В данном случае он использовался как хостинг файлов.
Эксперты полагают, что утекшие файлы содержат данные самих пользователей GitHub, которые они выложили по ошибке.А журналист Ъ вообще не разбирается:
Кто они? Пользователи выложили свои кукисы на гитхаб? Или гитхаб выложил их куки🤦♂️
вообще не разбирается
Это тавтология :)
Люди вечно заливают креды/пароли/ключи. Это даже не взлом. В чём новость то? )
жирный плюс. сам так однажды спалил connection string от mongodb.
поэтому лучше все ключи доступа, токены и прочую важную информацию хранить в переменных окружения. конечно, не забывая добавить их в .gitignore. 😌
Жирный плюс, лично находил валидные апи-ключи к криптобиржам, позволяющие даже сделать вывод... (Взял и вернул немного для подтверждения концепта, сообщил хозяину, но вообще конечно диву даюсь) Там поле непаханное для таких "расследований"
Хорошо хоть в .env были, а то я порой встречаю, как в код зашивают.
Это ладно, у меня как-то фраза от кошелька с несколькими тысячами $ в публичном форке месяц пролежала. А чувак, который ее увидел, не увел деньги, а написал мне)
Комментарий недоступен
Батл не по фактам(
Если что, это осуждение к тому что в статье вообще нету никаких фактов.
chrome - i love you
Причём тут хром?
Куки хранят все браузеры, а хром делает это самым ненадежным способом…
Комментарий недоступен
Классика же: выкладка персональных данных в репозиторий.
Папку с Selenium выкладывают
Посмотрел результаты поиска и на первый взглядт подавляющее большинство — это всякие тестовые профили. И совсем редко, конечно, таки есть дотфайлс всяких школьников :)))
Комментарий недоступен
Например, у гитлаба можно случайно выложить собственные файлы .htpasswd и .htaccess и они уедут при публикации в gitlab pages. При этом работать не будут, а по прямой ссылке их можно скачать.
Я писал в поддержку, что имеет смысл их всё-таки скрывать, но для гитлаба это, оказывается, не является уязвимостью. Не благодарите.
Потому что это не проблема гита и репозитория — зачастую htaccess действительно нужно коммитить, например, в веб-приложениях: https://github.com/laravel/laravel/blob/8.x/public/.htaccess
В крайнем случае можно глобальный gitignore настроить.
Все верно, но можно было бы и по умолчанию ограничивать доступ к таким файлам. Безопасность лишней не бывает. Тем более их могут по незнанию намеренно выложить, рассчитывая на привычное поведение сервера.
Смотрите, вот я беру стандартный git, коммичу .htaccess и .htpasswd, затем пушу это всё в gitlab в публичный реп. Затем любой другой пользователь может склонировать его себе опять-таки через git. Если gitlab просто не будет показывать "опасные" файлы, то уязвимость никуда не денется.
Дело в том, что сами репы могут быть не публичными, а вот авто сборка и публикация на gitlab pages вытащит туда нежелательное. Я именно об этом. А так-то можно и свой env с рутовым доступом закинуть — "удобно" же, обновился и все сразу работает без настроек.
Ну и да, речь не о случайных утечках, а о намеренных из-за того, что от pages ожидается "стандартное" поведение сервера.
От pages ожидается стандартное поведение сервера Apache?
Я сам так на грабли наступил, когда на моем сервере апач работал как и ожидалось, а на pages — нет. Сначала настроил и потом уже стал разбираться почему не работает.
Скажите, откуда на GitLab Pages должен взяться Apache?
Если вы решили использовать его на своём локальном GitLab, то он будет работать только как reverse proxy, он не будет сам контролировать директории.
Так на pages его и нет. А весь деплой — это просто переписать статику из каталога web в public. Соответственно, туда же уехали и htaccess с htpasswd.
Как тут на vc токсично, куда ни плюнь - попадешь в эксперта по безопасности или короля багбаунти, которые как минимум в каждом своем проекте юзают vault, а то и dotfiles складывают в libastral.
Спасибо за статью, вроде про cookies.sqlite ещё не было. Тема с неосознанным коммитом секретов актуальна всегда, не лишним будет про нее напомнить.
точка gitignore в помощь
Тому, кто коммитит home, это не поможет.
Пока что помогает. Но больше помогает просматривать глазами каждый коммит в любом проекте, не важно dotfiles это или нет.
Почему именно внимание на Firefox? На других браузерах эта фишка не сработает?