Des milliers de bases de données de cookies Firefox qui contiennent des données sensibles qui pourraient potentiellement être utilisées pour détourner des sessions authentifiées sont actuellement disponibles sur demande auprès des référentiels GitHub.
Tel que rapporté par Le registre et repérées pour la première fois par l’ingénieur en sécurité Aidan Marlin, ces bases de données cookies.sqlite sont utilisées pour stocker des cookies entre les sessions de navigation et se trouvent normalement dans le dossier des profils Firefox d’un utilisateur. Cependant, en recherchant GitHub à l’aide de paramètres de requête spécifiques connus sous le nom de recherche « dork », ils peuvent être trouvés en ligne.
Marlin a contacté le média après avoir essayé pour la première fois de signaler ses découvertes à GitHub via HackerOne. Cependant, un représentant de GitHub a informé Marlin que « les informations d’identification exposées par nos utilisateurs ne sont pas couvertes par notre programme Bug Bounty ». Il a ensuite demandé à GitHub s’il pouvait rendre ses conclusions publiques et a fourni plus de détails à ce sujet à Le registre dans un e-mail en disant :
« Je suis frustré que GitHub ne prenne pas au sérieux la sécurité et la confidentialité de ses utilisateurs. Le moins qu’il puisse faire est d’empêcher les résultats de ce dork GitHub. Si les personnes qui ont téléchargé ces bases de données de cookies étaient informées de ce qu’elles feraient fait, ils s *** leur pantalon. »
Sommaire
Bases de données de cookies accidentellement exposées
Les utilisateurs concernés ont accidentellement téléchargé leur propre base de données cookies.sqlite lors de la validation du code et de le transmettre à leurs référentiels publics sur GitHub. Cependant, comme cet imbécile affiche près de 4,5 000 résultats, Marlin pense que GitHub devrait en faire plus et il a également alerté le bureau du commissaire à l’information du Royaume-Uni que les informations personnelles des utilisateurs sont en danger.
Selon Marlin, il pense que les utilisateurs ont accidentellement téléchargé leurs bases de données cookies.sqlite en validant du code à partir de leur propre répertoire d’accueil Linux. Très probablement, les personnes impliquées ne réalisent probablement même pas qu’elles mettent en ligne leurs bases de données de cookies pour que quelqu’un d’autre puisse les trouver.
La sécurité des utilisateurs concernés est également menacée car un attaquant pourrait télécharger leurs bases de données de cookies et les placer dans un dossier appartenant à un profil Firefox nouvellement créé sur leur machine locale. Cela leur permettrait d’être authentifiés sur tous les services auxquels les utilisateurs étaient connectés lorsqu’ils ont validé leurs bases de données selon Marlin.
Dans un e-mail à Le registre, un porte-parole de Mozilla a confirmé la théorie de Marlin et expliqué que les développeurs devraient utiliser Firefox Sync lorsqu’ils utilisent des services d’hébergement de code comme GitHub, en déclarant :
« La protection de la vie privée des internautes est au cœur du travail de Mozilla. Lorsque vous utilisez des services d’hébergement de code, nous encourageons les utilisateurs à faire preuve de prudence lorsqu’ils envisagent de partager des données privées directement sur des sites Web publics. Lorsque vous choisissez de sauvegarder des données de profil Firefox sensibles, Mozilla recommande Firefox Sync, qui crypte et stocke en toute sécurité les fichiers sur les serveurs Firefox. »
Nous avons également présenté le meilleurs navigateurs, meilleure protection contre le vol d’identité et meilleur gestionnaire de mots de passe
Via le registre
