WakaTime私有排行榜漏洞:未授权泄露用户私密邮箱

本文详细披露了WakaTime私有排行榜功能中存在的一个安全漏洞,该漏洞导致用户私密邮箱地址在未明确公开的情况下被泄露,涉及隐私控制绕过、GDPR合规风险及修复方案。

未授权通过WakaTime私有排行榜泄露私密邮箱 | 报告 #3279508

摘要

WakaTime允许用户创建私有排行榜并邀请他人加入。然而,一旦被邀请用户接受邀请并加入排行榜,其私密邮箱地址会对排行榜创建者或其他成员可见,即使用户未选择公开邮箱。这绕过了预期的隐私控制,可能被利用来收集不知情WakaTime用户的邮箱。

重现步骤

  1. 登录WakaTime.com并创建新的私有排行榜。
  2. 使用WakaTime用户名或公开资料链接邀请另一用户加入排行榜。
  3. 被邀请用户接受邀请并加入排行榜。
  4. 加入后,访问排行榜页面,观察其中包含他们的邮箱,尽管他们已设置为私密。

观察结果

您可以在排行榜数据或用户界面中查看被邀请用户的邮箱地址,即使他们的邮箱在设置中从未公开。

影响

  • 违反用户隐私期望和配置。
  • 可用于邮箱收集或定向钓鱼。
  • 利用门槛低:任何有账户的用户都可以创建排行榜并诱使他人加入。
  • 由于未经同意暴露个人可识别信息(PII),存在GDPR/CCPA风险。

预期行为

用户的邮箱地址必须保持隐藏,除非他们明确选择公开显示。排行榜应仅显示公开数据,而非私密或敏感标识符如邮箱地址。

建议

  • 确保私有字段(如邮箱)从不包含在与排行榜相关的响应中,除非用户选择显示它们。
  • 在向客户端返回排行榜成员数据之前执行隐私过滤。
  • 在加入排行榜时添加关于哪些信息将对其他成员可见的通知或确认提示。

时间线

  • 3天前:ctrl_cipher 向WakaTime提交报告。
  • 2天前:alanhamlett(WakaTime员工)将严重性从严重(9.4)更新为中等(4.3)。
  • 2天前:alanhamlett 关闭报告并将状态更改为已解决。
  • 2天前:ctrl_cipher 确认修复有效。
  • 15小时前:ctrl_cipher 请求披露此报告。
  • 13小时前:alanhamlett 同意披露此报告。

报告详情

  • 报告日期:2025年7月31日 14:04 UTC
  • 报告者:ctrl_cipher
  • 报告对象:WakaTime
  • 状态:已解决
  • 严重性:中等(4.3)
  • 披露日期:2025年8月3日 03:23 UTC
  • 弱点:信息泄露
  • CVE ID:无
  • 赏金:隐藏
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次