На GitHub нашли тысячи cookies аутентификации Firefox, загруженные пользователями случайно
На GitHub нашли тысячи cookies аутентификации Firefox, загруженные пользователями случайно

На GitHub нашли тысячи cookies аутентификации Firefox, загруженные пользователями случайно

22 ноября, 20211 минута на чтение
Подписывайтесь на [Код // Дурова] в Telegram[Код // Дурова] в Telegram

На форуме хранения и совместной разработки IT-продуктов GitHub обнаружили более тысячи cookie-файлов пользователей браузера Mozilla Firefox. Об этом сообщило издание «Ъ». В теории, через чужие cookie-файлы злоумышленники могут заходить на сайты не зная логина и пароля аккаунта.

Речь идёт о cookies.sqlite, которые обычно размещаются в директории профиля Firefox. Эти базы используются для хранения cookies между сессиями браузера. Файлы могут использоваться не только в Firefox, но и в других браузерах.

Найти данные cookies.sqlite пользователей Firefox можно через специальный поисковый запрос на GitHub – в результате выдачи можно найти 4,5 тысяч файлов. О доступности этих файлов сообщил английский исследователь в области кибербезопасности Эйдан Марлин. Ранее специалист уведомлял об этом представителей GitHub через программу HackerOne, однако ему ответили:

Открытые учётные данные пользователей находятся за рамками нашей программы по поиску уязвимостей.

Как сообщил Марлин изданию The Register, вероятно, все эти данные разработчики загрузили сами случайно вместе с другим содержимым в репозиториях GitHub. То есть данные обычных пользователей Firefox в безопасности, утверждает издание.

Я расстроен тем, что GitHub несерьёзно относится к безопасности и конфиденциальности своих пользователей. Самое меньшее, что можно было бы сделать, это предотвратить появление подобных результатов в поиске на GitHub», заявил Эйдан.

При такой утечке, продолжают они, не поможет даже двухфакторная аутентификация. Защитить данные можно попробовать с проверкой геолокации, которую проводят некоторые сервисы: если владелец аккаунта всегда заходил на сайт с IP-адресов России, а теперь пытается войти из США, то использовать cookies у злоумышленника не получится, сказал руководитель департамента аудита кибербезопасности Infosecurity a Softline company Сергей Ненахов.

22 ноября, 2021
Подписывайтесь на [Код // Дурова] в Telegram[Код // Дурова] в Telegram

Сейчас читают

Блоги компаний