Aidan Marlin นักวิจัยด้านความปลอดภัยรายงานว่านักพัฒนาจำนวนเกือบ 4,500 คนอัพโหลดไฟล์ cookie จากเบราว์เซอร์ที่ตัวเองใช้งานอยู่เข้าไปยัง GitHub ส่งผลให้คนร้ายสามารถสวมรอยแทนนักพัฒนาเหล่านี้ไปยังทุกบริการที่ล็อกอินทิ้งไว้ได้

ไฟล์ฐานข้อมูล cookie ในไฟร์ฟอกซ์คือ cookies.sqlite ปกติแล้วจะอยู่ในโฟลเดอร์ของไฟร์ฟอกซ์เอง ไม่แน่ชัดว่าทำไมนักพัฒนาจำนวนหนึ่งจึงอัพโหลดไฟล์เหล่านี้ขึ้น GitHub

ปัญหาการเผลออัพโหลดกุญแจล็อกอินต่างๆ เข้าไปยัง GitHub เป็นปัญหาเรื้อรังในช่วงหลายปีที่ผ่านมา โดยทาง GitHub เองก็พยายามสู้กับปัญหานี้ด้วยการเปิดบริการ Token Scanning แจ้งเตือนว่าเผลออัพโหลดกุญแจเข้าไปในโค้ดหรือไม่ แต่การอัพโหลดฐานข้อมูล sqlite เช่นฐานข้อมูลของ cookie เบราว์เซอร์ครั้งนี้น่าจะไม่อยู่ในรูปแบบที่ GitHub ช่วยตรวจสอบให้

ที่มา - The Register

ภาพโดย Boskampi