Duizenden Firefoxgebruikers committen cookiedatabase onbedoeld naar GitHub

[Captain Kirk]

Duizenden Firefoxgebruikers hebben onbedoeld hun cookiedatabase naar GitHub gecommit, waar ze eenvoudig zijn te vinden, waardoor misbruik mogelijk is. De cookies.sqlite-databases bevinden zich normaal in de Firefox-profieldirectory en bevatten cookies die onder andere worden gebruikt voor het inloggen op websites.

GitHub is een populair platform voor softwareontwikkelaars. Ontwikkelaars kunnen code op hun systeem naar het platform committen. Sommige ontwikkelaars blijken bij het committen van code ook hun cookies.sqlite-database mee te sturen. Security-engineer Aidan Marlin vond naar eigen zeggen duizenden van dergelijke databases in openbare GitHub-repositories waar ze via een zoekopdracht eenvoudig zijn te vinden.

Wat precies de reden is dat de databases worden gecommit is onbekend, maar Marlin vermoedt dat het gaat om ontwikkelaars die code vanuit hun Linux-homedirectory committen en niet weten dat ook de database wordt meegestuurd. Een zoekopdracht naar cookies.sqlite-databases op GitHub leverde ruim vierduizend hits op, zo meldt The Register.

De engineer meldde het probleem via bugbountyprogramma HackerOne bij GitHub, maar het ontwikkelplatform liet weten dat door gebruikers gelekte inloggegevens niet voor een beloning in aanmerking komen. Met de cookies in de databases is het mogelijk om in te loggen op websites waar de betreffende gebruiker op het moment van de commit was ingelogd.

Update

Antivirusbedrijf Sophos herhaalde het experiment van Marlin en ontdekte bijna 4500 cookiedatabases. "Meestal gebeuren dit soort blunders doordat Linux- en Unix-computers standaard geen directories of bestandsnamen tonen die met een punt beginnen", zegt onderzoeker Paul Ducklin.

 

bron: https://www.security.nl