Save The Web Project
·
感谢 GitHub 的 $617 欢乐赞助(误)
💡
原文中文,约2000字,阅读约需5分钟。
📝
内容提要
GitHub用户通过GitHub的Mention suggester API发现隐私漏洞,API泄露私有所有者信息。用户报告并获得奖励$617。GitHub确认并修复漏洞,用户最终获得$615奖金。
🎯
关键要点
-
GitHub用户通过Mention suggester API发现隐私漏洞,API泄露私有所有者信息。
-
用户报告漏洞并获得$617的奖励,最终实际收到$615。
-
漏洞的发现源于用户在GitHub上@了一个内部bot账号,导致私有所有者信息被泄露。
-
Mention suggester API本应只列出公共所有者和活跃维护者,但错误地显示了私有所有者。
-
用户通过实验确认了漏洞的存在,并决定向GitHub报告。
-
GitHub确认漏洞并表示由于风险较低,修复进度较慢。
-
用户在报告过程中获得了Octoplush吉祥物作为额外奖励。
❓
延伸问答
GitHub的Mention suggester API是什么?
Mention suggester API是GitHub的一个功能,旨在建议用户在提及其他用户时显示相关的公共所有者和活跃维护者。
用户是如何发现GitHub的隐私漏洞的?
用户通过在GitHub上@了一个内部bot账号,意外发现Mention suggester API泄露了私有所有者信息。
用户报告漏洞后获得了什么奖励?
用户报告漏洞后获得了$617的奖励,最终实际收到$615。
GitHub对漏洞的修复进度是怎样的?
GitHub确认漏洞后表示由于风险较低,修复进度较慢。
用户在报告漏洞的过程中还获得了什么额外奖励?
用户在报告过程中还获得了一个Octoplush吉祥物作为额外奖励。
Mention suggester API为什么会泄露私有所有者信息?
由于用户的组织设置为没有权限,导致Mention suggester API错误地列出了本应隐藏的私有所有者。
🏷️
标签
➡️
