New XSS Hunter host Truffle Security faces privacy backlash

Adam Bannister
2023年2月9日 17:12 UTC
更新：2023年2月22日 15:09 UTC

漏洞 | 开源软件 | 社交媒体

在遭到反对后，漏洞发现的匿名统计数据被迅速删除
2023年2月22日更新：Truffle Security于2月21日宣布为其XSS Hunter分支引入可选端到端加密功能，在Twitter上获得了更积极的回应

流行黑客工具XSS Hunter新版本的维护者因检查用户生成的潜在敏感数据而受到批评，此前他们分享了所发现漏洞的匿名统计数据。

Truffle Security上周在原创建者Matthew Bryant弃用该开源工具后推出了新的分支，其有争议的通信于昨日在Twitter上发布。

“哇，自上周推出我们的XSSHunter版本以来，已收到>1000份XSS报告，”推文称。
“其中∼20个暴露了.git目录，”它继续补充，“∼15个暴露了云凭证，>100个存在CORS问题！”

这引发了漏洞猎人和安全研究人员在Twitter上的震惊，包括黑客和渗透测试员Julien Ahrens。“听起来有人正在仔细查看你的数据…”他发推文说。“专业提示：自托管xsshunter-express或ezxss实例，避免将潜在敏感数据泄露给这家公司。”

‘匿名统计数据’

Truffle Security通过删除有问题的推文并承认反对意见来回应社交媒体风暴：“我们发布了一些关于XSSHunter的匿名统计数据（类似于Hackerone的公开匿名报告），社区成员提出了隐私担忧，因此我们将其删除。感谢重新发布，完全有理由让我们负责。”

然而，‘@Th3MadHacker’反驳说：“这与hackerone不同，hackerone上的项目同意共享指标。”

在回应The Daily Swig的查询时，Truffle Security联合创始人Dylan Ayrey重复了公司Twitter账户上的评论，并试图缓解隐私担忧，补充说：“员工的未查看任何人的原始报告。”

与此同时，Colin Winhall敦促漏洞赏金平台“为bXss提供内部解决方案，并分叉自己的XSSHunter版本”。

巴黎的漏洞赏金平台YesWeHack强调了其自托管带外工具PwnMachine的此类解决方案。

漏洞赏金计划通常禁止使用第三方平台托管的黑客工具，因为存在敏感数据泄露的风险，这可能使恶意黑客受益，正如Amazon VRP现在的情况。

隐私动机

XSS Hunter上周作为托管服务推出，此前Bryant（又名‘Mandatory’）宣布不再维护该应用程序。

该服务的新版本托管在旧金山Truffle Security的域名上，是原始代码的开源分支。

Bryant仍然是xsshunter-express仓库的维护者，用户可以通过该仓库自托管自己的实例，并且可以迁移到其他分支。

隐私担忧似乎是推出新XSS Hunter服务和开发新功能（如平台捕获的截图模糊处理）的动机。

Truffle Security的Ayrey此前向The Daily Swig谈到重新启动时表示，“许多XSS Hunter用户会意外将敏感数据发送到平台”。他还担心，在弃用后，“可能有另一个工具出现替代它，其操作者可能对收集的数据有不同的意图[与Mandatory相比]。”

“我们看到了解决隐私问题并为网络安全社区提供新功能的机会，”Ayrey补充道。

Bryant告诉The Daily Swig，他变得“越来越不舒服服务中存储的漏洞信息量”，并表示“Truffle Security开始时就着眼于平衡隐私和漏洞赏金研究利益”。

本文于2月22日更新，报道了Truffle Security为其XSS Hunter分支引入端到端加密选项的消息。

背景
Truffle Security以新功能重新启动XSS Hunter工具