Ga naar inhoud

Duizenden Firefoxgebruikers committen cookiedatabase onbedoeld naar GitHub


Aanbevolen berichten

Duizenden Firefoxgebruikers hebben onbedoeld hun cookiedatabase naar GitHub gecommit, waar ze eenvoudig zijn te vinden, waardoor misbruik mogelijk is. De cookies.sqlite-databases bevinden zich normaal in de Firefox-profieldirectory en bevatten cookies die onder andere worden gebruikt voor het inloggen op websites.

GitHub is een populair platform voor softwareontwikkelaars. Ontwikkelaars kunnen code op hun systeem naar het platform committen. Sommige ontwikkelaars blijken bij het committen van code ook hun cookies.sqlite-database mee te sturen. Security-engineer Aidan Marlin vond naar eigen zeggen duizenden van dergelijke databases in openbare GitHub-repositories waar ze via een zoekopdracht eenvoudig zijn te vinden.

Wat precies de reden is dat de databases worden gecommit is onbekend, maar Marlin vermoedt dat het gaat om ontwikkelaars die code vanuit hun Linux-homedirectory committen en niet weten dat ook de database wordt meegestuurd. Een zoekopdracht naar cookies.sqlite-databases op GitHub leverde ruim vierduizend hits op, zo meldt The Register.

De engineer meldde het probleem via bugbountyprogramma HackerOne bij GitHub, maar het ontwikkelplatform liet weten dat door gebruikers gelekte inloggegevens niet voor een beloning in aanmerking komen. Met de cookies in de databases is het mogelijk om in te loggen op websites waar de betreffende gebruiker op het moment van de commit was ingelogd.

Update

Antivirusbedrijf Sophos herhaalde het experiment van Marlin en ontdekte bijna 4500 cookiedatabases. "Meestal gebeuren dit soort blunders doordat Linux- en Unix-computers standaard geen directories of bestandsnamen tonen die met een punt beginnen", zegt onderzoeker Paul Ducklin.

 

bron: https://www.security.nl

Link naar reactie
Delen op andere sites


Doe mee aan dit gesprek

Je kunt dit nu plaatsen en later registreren. Indien je reeds een account hebt, log dan nu in om het bericht te plaatsen met je account.

Gast
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Plak in plaats daarvan als platte tekst

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

 Delen

×
×
  • Nieuwe aanmaken...