漏洞概要:
WakaTime允许用户创建私有排行榜并邀请他人加入。但当受邀用户接受邀请后,其私密邮箱地址会暴露给排行榜创建者及其他成员,即使用户未选择公开邮箱。这绕过了隐私控制机制,可能被用于收集WakaTime用户的邮箱。
复现步骤:
- 登录WakaTime.com并创建新私有排行榜
- 使用WakaTime用户名或公开资料链接邀请其他用户
- 受邀用户接受邀请加入排行榜
- 在排行榜页面可查看到该用户的私密邮箱
实际结果:
受邀用户的邮箱地址会显示在排行榜数据或界面中,即使其邮箱设置始终为私密状态。
影响:
- 违反用户隐私预期和配置
- 可能被用于邮箱收集或定向钓鱼
- 利用门槛低:任何账户持有者均可创建排行榜诱导他人加入
- 存在GDPR/CCPA合规风险(未经同意暴露PII数据)
预期行为:
用户邮箱地址应保持隐藏状态,除非用户明确选择公开显示。排行榜应仅显示公开数据,不得包含邮箱等私密标识符。
修复建议:
- 确保私密字段(如邮箱)不会包含在排行榜相关响应中,除非用户主动选择显示
- 返回排行榜成员数据前执行隐私过滤
- 加入排行榜时增加关于信息可见范围的提示或确认弹窗