Mozilla CI日志意外暴露微软x-apikey安全事件分析

微软遥测API密钥在Mozilla持续集成公共日志中意外暴露,通过mitmproxy日志捕获的HTTP POST请求泄露了凭证。尽管安全影响有限,但Mozilla已采取措施防止未来凭证泄露。

微软 x-apikey 在Mozilla CI公共日志中暴露

报告摘要

在公开可访问的Mozilla持续集成(CI)日志中发现了一个微软遥测API密钥(x-apikey)。该密钥出现在自动化Firefox测试期间发送到微软遥测端点的HTTP POST请求中,并通过mitmproxy日志被捕获。

虽然安全影响很小(功能有限的遥测API密钥),且该报告被认为不在我们项目的范围内,但我们采取了行动,将mitmproxy.log工件移至内部存储,以防止未来的凭证泄露。因此,我们接受了该报告并支付了奖金,以认可报告者的努力。

时间线

  • 2025年7月9日 19:56 UTC - 通过ID验证的黑客xhacking_z向Mozilla提交报告
  • 2025年7月9日 20:03 UTC - xhacking_z更新漏洞信息
  • 2025年7月10日 02:19 UTC - HackerOne分析师elliot将状态改为"需要更多信息"
  • 2025年7月10日 13:42 UTC - xhacking_z将状态改为"新建"
  • 2025年7月10日 13:49 UTC - xhacking_z发表评论
  • 2025年7月11日 05:33 UTC - HackerOne分析师zenitsu关闭报告并将状态改为"信息性"
  • 2025年7月22日 14:38 UTC - Mozilla奖励xhacking_z 200美元奖金
  • 2025年7月22日 18:15 UTC - xhacking_z发表评论
  • 2025年7月22日 18:18 UTC - xhacking_z发表评论
  • 2025年7月23日 07:44 UTC - Mozilla员工frida-k发表评论
  • 2025年7月23日 11:55 UTC - xhacking_z发表评论
  • 2025年7月23日 12:39 UTC - Mozilla员工frida-k更改范围
  • 2025年7月23日 13:06 UTC - Mozilla员工frida-k重新打开此报告
  • 2025年7月23日 13:06 UTC - Mozilla员工frida-k关闭报告并将状态改为"已解决"
  • 2025年8月16日 00:38 UTC - xhacking_z请求披露此报告
  • 2025年8月20日 08:12 UTC - Mozilla员工frida-k取消披露请求
  • 2025年9月30日 21:28 UTC - xhacking_z请求披露此报告
  • 2025年9月30日 21:42 UTC - xhacking_z发表评论
  • 2025年10月1日 11:15 UTC - Mozilla员工frida-k取消披露请求
  • 2025年10月1日 13:55 UTC - xhacking_z发表评论
  • 9天前 - xhacking_z请求披露此报告
  • 9天前 - Mozilla员工frida-k发表评论
  • 8天前 - xhacking_z发表评论
  • 4天前 - Mozilla员工frida-k同意披露此报告
  • 4天前 - 此报告已被披露
  • 4天前 - Mozilla已锁定此报告

报告详情

报告时间:2025年7月9日 19:56 UTC
报告者:xhacking_z
报告对象:Mozilla
报告ID:#3243860
状态:已解决
严重程度:中等(5.3)
披露时间:2025年11月3日 10:34 UTC
弱点:敏感信息的明文存储
CVE ID:无
赏金:200美元
账户详情:无

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次