未经授权通过WakaTime私有排行榜泄露私人邮箱 | 报告编号#3279508

摘要

WakaTime允许用户创建私有排行榜并邀请他人加入。然而，当被邀请用户接受邀请加入排行榜后，其私人邮箱地址会对排行榜创建者或其他成员可见，即使用户从未选择公开邮箱。这绕过了预期的隐私控制，可能被利用来收集不知情WakaTime用户的邮箱。

复现步骤

1. 登录WakaTime.com并创建新的私有排行榜。
2. 使用WakaTime用户名或公开资料链接邀请其他用户加入排行榜。
3. 让被邀请用户接受邀请并加入排行榜。
4. 加入后，访问排行榜页面，观察其中包含他们的邮箱，尽管他们已设置为私密。

观察结果

你可以在排行榜数据或界面中查看被邀请用户的邮箱地址，即使他们的邮箱在设置中从未公开。

影响

• 违反用户隐私期望和配置。
• 可用于邮件收集或针对性钓鱼攻击。
• 利用门槛低：任何有账户的用户都可以创建排行榜并诱使他人加入。
• 由于未经同意暴露个人可识别信息（PII），存在GDPR/CCPA风险。

预期行为

用户的邮箱地址必须保持隐藏，除非他们明确选择公开显示。排行榜应仅显示公开数据，而非私人或敏感标识符如邮箱地址。

建议

• 确保私有字段（如邮箱）从不包含在与排行榜相关的响应中，除非用户选择显示它们。
• 在向客户端返回排行榜成员数据前执行隐私过滤。
• 加入排行榜时添加关于哪些信息将对其他成员可见的通知或确认提示。

时间线

• 3天前：ctrl_cipher向WakaTime提交报告。
• 2天前：WakaTime员工alanhamlett将严重性从严重（9.4）更新为中（4.3）并关闭报告，状态改为已解决。
• 2天前：ctrl_cipher确认修复有效。
• 2天前：ctrl_cipher请求披露此报告。
• 15小时前：ctrl_cipher再次请求披露。
• 12小时前：alanhamlett同意披露，报告已公开。

报告详情

• 报告时间：2025年7月31日 14:04 UTC
• 报告者：ctrl_cipher
• 报告对象：WakaTime
• 状态：已解决
• 严重性：中（4.3）
• 披露时间：2025年8月3日 03:23 UTC
• 弱点：信息泄露
• CVE ID：无
• 赏金：隐藏
• 账户详情：无