Save The Web Project
·
感谢 GitHub 的 $617 欢乐赞助(误)
💡
原文中文,约2000字,阅读约需5分钟。
📝
内容提要
GitHub用户通过GitHub的Mention suggester API发现隐私漏洞,API泄露私有所有者信息。用户报告并获得奖励$617。GitHub确认并修复漏洞,用户最终获得$615奖金。
🎯
关键要点
- GitHub用户通过Mention suggester API发现隐私漏洞,API泄露私有所有者信息。
- 用户报告漏洞并获得$617的奖励,最终实际收到$615。
- 漏洞的发现源于用户在GitHub上@了一个内部bot账号,导致私有所有者信息被泄露。
- Mention suggester API本应只列出公共所有者和活跃维护者,但错误地显示了私有所有者。
- 用户通过实验确认了漏洞的存在,并决定向GitHub报告。
- GitHub确认漏洞并表示由于风险较低,修复进度较慢。
- 用户在报告过程中获得了Octoplush吉祥物作为额外奖励。
🏷️
标签
➡️
