Attualmente, migliaia di database di cookie di Firefox contenenti dati sensibili che potrebbero essere utilizzati per dirottare sessioni autenticate sono disponibili su richiesta nei repository GitHub.
Come riportato da The Register e individuato per la prima volta dall'ingegnere della sicurezza Aidan Marlin, questi database cookies.sqlite vengono utilizzati per memorizzare i cookie tra le sessioni di navigazione e si trovano in genere nella cartella "Firefox profiles" di un utente. Tuttavia, effettuando ricerche su GitHub utilizzando parametri di query specifici noti come ricerca "idiota", possono essere trovati online.
Marlin ha contattato i media dopo aver prima provato a riferire le sue scoperte a GitHub tramite HackerOne. Tuttavia, un rappresentante di GitHub ha informato Marlin che "le credenziali esposte dai nostri utenti non sono coperte dal nostro programma Bug Bounty". Ha quindi chiesto a GitHub se poteva rendere pubbliche le sue scoperte e ha fornito maggiori dettagli a riguardo a The Register in una e-mail, dicendo:
"Mi frustra che GitHub non prenda sul serio la sicurezza e la privacy dei suoi utenti. Il minimo che puoi fare è evitare i risultati di questo idiota di GitHub. Se le persone che hanno scaricato questi database hanno dei cookie, sarebbero informate di ciò che stanno sarebbe, fanculo i pantaloni.
Database di cookie esposti accidentalmente
Gli utenti interessati hanno caricato accidentalmente il proprio database cookies.sqlite durante la convalida del codice e l'invio ai propri repository pubblici su GitHub. Tuttavia, con questo idiota che pubblica quasi 4.5,000 visualizzazioni, Marlin ritiene che GitHub dovrebbe fare di più e ha anche avvisato l'ufficio del Commissario per le informazioni del Regno Unito che le informazioni personali degli utenti sono a rischio.
Secondo Marlin, crede che gli utenti abbiano scaricato accidentalmente i loro database cookies.sqlite mentre scrivevano codice dalla propria home directory di Linux. Molto probabilmente, le persone coinvolte non si rendono nemmeno conto che stanno mettendo online i loro database di cookie in modo che qualcun altro possa trovarli.
Anche la sicurezza degli utenti interessati è a rischio perché un utente malintenzionato potrebbe scaricare i database dei cookie e inserirli in una cartella appartenente a un profilo Firefox appena creato sul computer locale. Secondo Marlin, ciò consentirebbe loro di autenticarsi a qualunque servizio gli utenti abbiano effettuato l'accesso quando hanno convalidato i loro database.
In un'e-mail inviata a The Register, un portavoce di Mozilla ha confermato la teoria di Marlin e ha spiegato che gli sviluppatori dovrebbero utilizzare Firefox Sync quando utilizzano servizi di hosting di codice come GitHub, dicendo:
“Proteggere la privacy degli utenti di Internet è al centro del lavoro di Mozilla. Quando si utilizzano i servizi di hosting del codice, si consiglia agli utenti di prestare attenzione quando si considera la condivisione di dati privati direttamente su siti Web pubblici. Quando si sceglie di eseguire il backup dei dati sensibili del profilo di Firefox, Mozilla consiglia Firefox Sync, che crittografa e archivia in modo sicuro i file sui server Firefox."
Presentiamo anche i migliori browser, la migliore protezione contro il furto di identità e il miglior gestore di password.
Attraverso il registro