未授权通过WakaTime私有排行榜泄露私密邮箱 | 报告 #3279508

摘要

WakaTime允许用户创建私有排行榜并邀请他人加入。然而，当被邀请用户接受邀请并加入排行榜后，其私密邮箱地址会对排行榜创建者或其他成员可见，即使用户未选择公开邮箱。这绕过了预期的隐私控制，可能被利用来收集不知情WakaTime用户的邮箱。

复现步骤

1. 登录WakaTime.com并创建新的私有排行榜。
2. 使用WakaTime用户名或公开资料链接邀请其他用户加入排行榜。
3. 让被邀请用户接受邀请并加入排行榜。
4. 加入后，访问排行榜页面，观察其中包含他们的邮箱，尽管他们已设置为私密。

观察结果

你可以在排行榜数据或用户界面中查看被邀请用户的邮箱地址，即使他们的邮箱在设置中从未公开。

影响

• 违反用户隐私期望和配置。
• 可用于邮箱收集或定向网络钓鱼。
• 利用门槛低：任何有账户的用户都可以创建排行榜并诱骗他人加入。
• 由于未经同意暴露个人可识别信息（PII），存在GDPR/CCPA风险。

预期行为

用户的邮箱地址必须保持隐藏，除非他们明确选择公开显示。排行榜应仅显示公开数据，而非私密或敏感标识符如邮箱地址。

建议

• 确保私有字段（如邮箱）从不包含在与排行榜相关的响应中，除非用户选择显示它们。
• 在向客户端返回排行榜成员数据之前执行隐私过滤。
• 在加入排行榜时添加关于哪些信息将对其他成员可见的通知或确认提示。

时间线

• 10天前: ctrl_cipher 向WakaTime提交报告。
• 9天前: alanhamlett（WakaTime员工）将严重性从严重（9.4）更新为中（4.3）并关闭报告，状态改为已解决。
• 9天前: ctrl_cipher 确认修复有效。
• 7天前: ctrl_cipher 请求披露报告，alanhamlett 同意披露。

报告详情

• 报告日期: 2025年7月31日, 2:04pm UTC
• 报告者: ctrl_cipher
• 报告对象: WakaTime
• 状态: 已解决
• 严重性: 中（4.3）
• 披露日期: 2025年8月3日, 3:23am UTC
• 弱点: 信息泄露
• CVE ID: 无
• 赏金: 隐藏