Ribuan Firefox (terbuka di tab baru) basis data cookie yang berisi data sensitif yang berpotensi digunakan untuk membajak sesi yang diautentikasi saat ini tersedia berdasarkan permintaan dari GitHub (terbuka di tab baru) repositori.
Sebagaimana dilaporkan (terbuka di tab baru) oleh Pendaftaran dan pertama kali ditemukan oleh teknisi keamanan Aidan Marlin, database cookies.sqlite ini digunakan untuk menyimpan cookie di antara sesi penelusuran dan biasanya ditemukan di folder profil Firefox pengguna. Namun, dengan mencari di GitHub menggunakan parameter kueri khusus yang dikenal sebagai pencarian “dork”, mereka dapat ditemukan secara online.
Marlin menjangkau outlet berita tersebut setelah dia pertama kali mencoba melaporkan temuannya ke GitHub melalui HackerOne (terbuka di tab baru). Namun, perwakilan GitHub memberi tahu Marlin bahwa “kredensial yang diungkapkan oleh pengguna kami tidak termasuk dalam program Bug Bounty kami”. Dia kemudian bertanya kepada GitHub apakah dia dapat mempublikasikan temuannya dan memberikan rincian lebih lanjut tentang masalah tersebut Pendaftaran dalam sebuah email, mengatakan:
“Saya frustrasi karena GitHub tidak memperhatikan keamanan dan privasi penggunanya dengan serius. Paling tidak yang bisa dilakukan adalah mencegah munculnya hasil untuk dork GitHub ini. Jika individu yang mengunggah basis data cookie ini mengetahui apa yang mereka lakukan selesai, mereka akan mengotori celana mereka.”
Basis data cookie yang tidak sengaja terekspos
Pengguna yang terpengaruh secara tidak sengaja mengunggah basis data cookies.sqlite mereka sendiri saat melakukan kode dan mendorongnya ke repositori publik mereka di GitHub. Namun, karena dork ini menghasilkan hampir 4,5 ribu hasil, Marlin yakin GitHub harus berbuat lebih banyak dan dia juga telah memberi tahu Kantor Komisaris Informasi Inggris (terbuka di tab baru) bahwa informasi pribadi pengguna dalam bahaya.
Menurut Marlin, dia yakin bahwa pengguna secara tidak sengaja mengunggah database cookies.sqlite mereka dengan memasukkan kode dari Linux mereka sendiri (terbuka di tab baru) direktori home. Kemungkinan besar individu yang terlibat mungkin bahkan tidak menyadari bahwa mereka meletakkan database cookie mereka secara online untuk ditemukan orang lain.
Keamanan pengguna yang terpengaruh juga berisiko karena penyerang dapat mengunduh basis data cookie mereka dan meletakkannya di folder milik profil Firefox yang baru dibuat di mesin lokal mereka. Ini akan memungkinkan mereka untuk diautentikasi pada layanan apa pun yang pengguna masuk saat mereka melakukan database mereka menurut Marlin.
Dalam email ke Pendaftaranjuru bicara Mozilla mengkonfirmasi teori Marlin dan menjelaskan bahwa pengembang harus menggunakan Firefox Sync (terbuka di tab baru) saat menggunakan layanan hosting kode seperti GitHub, mengatakan:
“Melindungi privasi pengguna internet adalah inti dari pekerjaan Mozilla. Saat menggunakan layanan hosting kode, kami mendorong pengguna untuk berhati-hati saat mempertimbangkan berbagi data pribadi secara langsung di situs web publik. Saat memilih untuk mencadangkan data profil Firefox yang sensitif, Mozilla merekomendasikan Firefox Sync, yang mengenkripsi dan menyimpan file dengan aman di dalam server Firefox.”
Kami juga menampilkan browser terbaik (terbuka di tab baru), perlindungan pencurian identitas terbaik (terbuka di tab baru) dan pengelola kata sandi terbaik (terbuka di tab baru)
Melalui Daftar (terbuka di tab baru)
