Milhares de bancos de dados de cookies do Firefox contendo dados confidenciais estão disponíveis mediante solicitação nos repositórios do GitHub, dados potencialmente utilizáveis para sequestrar sessões autenticadas. Assim, são milhares de usuários do Firefox deixam acidentalmente cookies de login no GitHub.
Esses bancos de dados cookies.sqlite normalmente residem na pasta de perfis do Firefox. Eles são usados para armazenar cookies entre sessões de navegação. E eles podem ser encontrados pesquisando no GitHub com parâmetros de consulta específicos, o que é conhecido como um “dork” de pesquisa.
Aidan Martin, um engenheiro de segurança da Trainline, serviço de viagens ferroviárias com sede em Londres, alertou o The Register sobre a disponibilidade pública desses arquivos após relatar suas descobertas por meio do HackerOne e ser informado por um representante do GitHub que “as credenciais expostas por nossos usuários não estão no escopo para nosso programa Bug Bounty. “
Martin então perguntou se ele poderia tornar suas descobertas públicas e foi informado de que ele é livre para fazê-lo.
“Estou frustrado que o GitHub não esteja levando a segurança e privacidade de seus usuários a sério”, disse Martin. “O mínimo que pode fazer é evitar que resultados apareçam para o GitHub.”
Martin reconhece que os usuários afetados do GitHub têm alguma culpa por não evitarem que seus bancos de dados fossem incluídos quando eles enviaram o código para seus repositórios públicos. “Mas há quase 4,5 mil acessos para este dork, então acho que o GitHub também tem o dever de cuidar”, disse ele, acrescentando que alertou o Gabinete do Comissário de Informação do Reino Unido porque informações pessoais estão em jogo.
Martin especula que o descuido é uma consequência da confirmação do código do diretório pessoal do Linux. “Imagino que, na maioria dos casos, os indivíduos não estão cientes de que carregaram seus bancos de dados de cookies”, explicou ele. “Um motivo comum para os usuários fazerem isso é para um ambiente comum em várias máquinas.”
Um problema antigo, ainda não corrigido. Milhares de usuários do Firefox deixam acidentalmente cookies de login no GitHub
Os dorks do GitHub não são novos, mas geralmente afetam apenas um único serviço, como o AWS, disse Martin. Essa gafe em particular é preocupante porque pode permitir que um invasor acesse qualquer site da Internet para o qual o usuário do GitHub foi autenticado no momento em que os arquivos de cookie foram confirmados. Ele acrescentou que provavelmente também podem ser encontrados dorks para outros navegadores.
A exploração, disse Martin, seria muito fácil. É apenas uma questão de criar um novo perfil do Firefox em sua máquina local e, em seguida, baixar o cookies.sqlite
arquivo e colocá-lo na pasta de perfil do Firefox. “Você será autenticado em todos os serviços nos quais o usuário estava conectado quando fez o commit do banco de dados”, explicou Martin.
Existe uma complicação teórica. O Firefox oferece uma opção para proteger logins e senhas. Porém, isso não se aplica ao arquivo cookies.sqlite
.
Quando a visibilidade dos cookies surgiu há cinco anos como um envio de bug do Firefox macOS, ela foi fechada.
E mesmo se o arquivo cookies.sqlite
fosse protegido por uma senha específica do banco de dados, provavelmente não ofereceria muita proteção: vários projetos de código aberto oferecem a capacidade de crackear .sqlite
arquivos, e há ofertas comerciais desse tipo também.
Para ressaltar a seriedade de expor esses bancos de dados, considere esta exploração PoC do Android recentemente descrita de CVE-2020–15647, usada para exfiltrar o banco de dados de cookies do Firefox.
Mozilla confirma problema
A Mozilla confirmou as afirmações de Martin sobre o risco de expor esses arquivos em um e-mail para o The Register na quinta-feira.
“Proteger a privacidade dos usuários da Internet está no cerne do trabalho da Mozilla”, disse um porta-voz da Mozilla. “Ao usar serviços de hospedagem de código, encorajamos os usuários a ter cuidado ao considerar o compartilhamento de dados privados diretamente em sites públicos. Ao escolher fazer backup de dados confidenciais do perfil do Firefox, a Mozilla recomenda o Firefox Sync, que criptografa e armazena arquivos com segurança nos servidores Firefox.”
Um fator atenuante, pelo menos, é que as sessões e os cookies associados tendem a expirar com relativa rapidez.
Existe um precedente para o GitHub tomar medidas para ajudar aqueles que estão publicando inadvertidamente seus bancos de dados de cookies. O negócio de código social tem verificado credenciais expostas em repositórios desde 2015 e agora verifica mais de 70 tipos diferentes de segredos. Aqui está mais um para adicionar à lista.
O GitHub não se pronunciou a respeito.
Via The Register