Actualmente, miles de bases de datos de cookies de Firefox que contienen datos confidenciales que podrían usarse para secuestrar sesiones autenticadas están disponibles a pedido en los repositorios de GitHub.
Según lo informado por The Register y detectado por primera vez por el ingeniero de seguridad Aidan Marlin, estas bases de datos cookies.sqlite se utilizan para almacenar cookies entre sesiones de navegación y normalmente se encuentran en la carpeta de perfiles de Firefox de 'un usuario'. Sin embargo, al buscar GitHub utilizando parámetros de consulta específicos conocidos como búsqueda "idiota", se pueden encontrar en línea.
Marlin se puso en contacto con los medios de comunicación después de intentar por primera vez informar de sus hallazgos a GitHub a través de HackerOne. Sin embargo, un representante de GitHub informó a Marlin que "las credenciales expuestas por nuestros usuarios no están cubiertas por nuestro programa Bug Bounty". Luego le preguntó a GitHub si podía hacer públicos sus hallazgos y proporcionó más detalles al respecto a The Register en un correo electrónico, diciendo:
"Me frustra que GitHub no se tome en serio la seguridad y la privacidad de sus usuarios. Lo mínimo que puede hacer es evitar los resultados de este idiota de GitHub. Si las personas que descargaron estas bases de datos tienen cookies fueran informadas de lo que harían, que se jodan los pantalones ".
Bases de datos de cookies expuestas accidentalmente
Los usuarios afectados cargaron accidentalmente su propia base de datos cookies.sqlite mientras validaban el código y lo enviaban a sus repositorios públicos en GitHub. Sin embargo, con este idiota publicando casi 4.5,000 visitas, Marlin cree que GitHub debería estar haciendo más y también ha alertado a la oficina del Comisionado de Información del Reino Unido que la información personal de los usuarios está en riesgo.
Según Marlin, cree que los usuarios descargaron accidentalmente sus bases de datos cookies.sqlite mientras escribían código desde su propio directorio de inicio de Linux. Lo más probable es que las personas involucradas ni siquiera se den cuenta de que están poniendo sus bases de datos de cookies en línea para que alguien más pueda encontrarlas.
La seguridad de los usuarios afectados también está en riesgo porque un atacante podría descargar sus bases de datos de cookies y colocarlas en una carpeta perteneciente a un perfil de Firefox recién creado en su máquina local. Esto les permitiría autenticarse en cualquier servicio en el que los usuarios hayan iniciado sesión cuando validaron sus bases de datos, según Marlin.
En un correo electrónico enviado a The Register, un portavoz de Mozilla confirmó la teoría de Marlin y explicó que los desarrolladores deberían usar Firefox Sync cuando usen servicios de alojamiento de código como GitHub, diciendo:
“La protección de la privacidad de los usuarios de Internet es el núcleo del trabajo de Mozilla. Al utilizar servicios de alojamiento de código, recomendamos a los usuarios que tengan cuidado al considerar compartir datos privados directamente en sitios web públicos. Al elegir realizar una copia de seguridad de los datos confidenciales del perfil de Firefox, Mozilla recomienda Firefox Sync, que cifra y almacena de forma segura los archivos en los servidores de Firefox ".
También presentamos los mejores navegadores, la mejor protección contra robo de identidad y el mejor administrador de contraseñas.
Через реестр