摘要:
在一次安全评估中发现,curl项目官网(https://curl.se/)公开暴露了包含开发者邮箱地址的.mailmap文件。该文件可通过curl等标准工具直接获取,无需任何认证或特殊权限。这引发了关于用户敏感信息保密性的安全问题。
复现步骤:
通过访问以下URL可获取泄露的邮箱信息: https://curl.se/.mailmap
已确认泄露的邮箱包括:
- Andy Alt: arch_stanton5995@protonmail.com
- Ali Khodkar: 129806877+Alikhodkar@users.noreply.github.com
影响分析:
- 邮箱暴露可能导致钓鱼攻击、垃圾邮件或针对受影响个体的社会工程攻击
- 若这些邮箱关联特权账户(如管理员或GitHub贡献者),将增加冒用或未授权账户访问的风险
项目方回应:
curl团队成员dfandrich指出:
- 这些邮箱地址同样存在于GitHub代码库的.mailmap文件中
- 网站相关问题不在漏洞赏金计划范围内
项目维护者bagder最终将报告状态标记为"Not Applicable",理由是:
- 属于公开信息
- 网站问题不在漏洞赏金范围
透明度说明:
根据curl项目的透明度政策,该报告最终被主动公开披露。