微软x-apikey在Mozilla持续集成日志中意外暴露的安全事件分析

微软遥测API密钥在Mozilla持续集成公共日志中被发现暴露,该密钥通过mitmproxy日志捕获自自动化Firefox测试期间发送到微软遥测端点的HTTP POST请求。尽管安全影响有限,但Mozilla已采取措施防止未来凭证泄露。

微软 x-apikey 在 Mozilla CI 公共日志中暴露

事件概述

在公开可访问的 Mozilla 持续集成(CI)日志中发现了一个微软遥测 API 密钥(x-apikey)。该密钥出现在自动化 Firefox 测试期间发送到微软遥测端点的 HTTP POST 请求中,并通过 mitmproxy 日志被捕获。

安全影响与处理

虽然安全影响较小(功能受限的遥测 API 密钥)且该报告被认为超出了项目范围,但 Mozilla 已采取行动将 mitmproxy.log 工件移至内部存储,以防止未来的凭证泄露。因此,他们接受了报告并支付了奖金以认可报告者的努力。

时间线

  • 2025年7月9日 19:56 UTC - 通过身份验证的黑客 xhacking_z 向 Mozilla 提交报告
  • 2025年7月9日 20:03 UTC - xhacking_z 更新漏洞信息
  • 2025年7月10日 02:19 UTC - HackerOne 分析师将状态改为"需要更多信息"
  • 2025年7月11日 05:33 UTC - 报告被关闭,状态改为"信息性"
  • 2025年7月22日 14:38 UTC - Mozilla 向 xhacking_z 奖励 200 美元奖金
  • 2025年7月23日 - 报告被重新打开并最终解决
  • 2025年11月3日 10:34 UTC - 报告被公开披露

技术细节

弱点类型:敏感信息的明文存储 严重程度:中等(5.3) 赏金金额:200 美元 CVE ID:无

处理结果

Mozilla 通过将包含敏感信息的日志文件从公共存储移至内部存储来解决此问题,有效防止了类似凭证泄露事件的再次发生。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次