Mozilla CI日志暴露微软x-apikey安全事件分析

微软遥测API密钥在Mozilla持续集成公共日志中暴露的安全事件分析。该密钥通过mitmproxy日志捕获,涉及自动化Firefox测试过程中的HTTP POST请求。虽然安全影响有限,但Mozilla已采取措施防止未来凭证泄露。

微软 x-apikey 在 Mozilla CI 公共日志中暴露

事件摘要

在公开可访问的 Mozilla 持续集成(CI)日志中发现了一个微软遥测 API 密钥(x-apikey)。该密钥出现在自动化 Firefox 测试期间发送到微软遥测端点的 HTTP POST 请求中,并通过 mitmproxy 日志被捕获。

虽然安全影响很小(功能有限的遥测 API 密钥),且该报告被认为超出了项目范围,但 Mozilla 采取了行动,将 mitmproxy.log 工件移至内部存储,以防止未来的凭证泄露。因此,他们接受了报告并支付了奖金,以认可报告者的努力。

时间线

  • 2025年7月9日 19:56 UTC
    ID验证的黑客 xhacking_z 向 Mozilla 提交报告

  • 2025年7月9日 20:03 UTC
    xhacking_z 更新漏洞信息

  • 2025年7月10日 02:19 UTC
    HackerOne 分析师 elliot 将状态改为"需要更多信息"

  • 2025年7月10日 13:42 UTC
    xhacking_z 将状态改为"新建"

  • 2025年7月11日 05:33 UTC
    HackerOne 分析师 zenitsu 关闭报告并将状态改为"信息性"

  • 2025年7月22日 14:38 UTC
    Mozilla 奖励 xhacking_z 200美元奖金

  • 2025年7月23日
    Mozilla 员工 frida-k 多次更新报告状态,最终将报告状态改为"已解决"

  • 2025年8-10月
    多次披露请求和取消过程

  • 4天前
    frida-k 同意披露此报告,报告已被披露并锁定

报告详情

  • 报告ID: #3243860
  • 报告日期: 2025年7月9日 19:56 UTC
  • 报告者: xhacking_z
  • 报告对象: Mozilla
  • 状态: 已解决
  • 严重程度: 中等(5.3)
  • 披露日期: 2025年11月3日 10:34 UTC
  • 弱点: 敏感信息的明文存储
  • CVE ID: 无
  • 赏金: 200美元
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次