Mozilla CI日志中暴露微软x-apikey的安全事件分析

报告 #3243860 - 微软 x-apikey 在 Mozilla CI 公共日志中暴露

摘要

在公开可访问的 Mozilla CI 日志中发现了一个微软遥测 API 密钥（x-apikey）。该密钥出现在自动化 Firefox 测试期间发送到微软遥测端点的 HTTP POST 请求中，并通过 mitmproxy 日志捕获。

虽然安全影响很小（功能有限的遥测 API 密钥）且该报告被认为超出我们计划的范围，但我们采取了行动将 mitmproxy.log 工件移动到内部存储，以防止未来的凭证泄漏。因此，我们接受了该报告并支付了奖金以认可报告者的努力。

时间线

• 2025年7月9日 19:56 UTC - 已完成身份验证的黑客 xhacking_z 向 Mozilla 提交报告
• 2025年7月9日 20:03 UTC - xhacking_z 更新了漏洞信息
• 2025年7月10日 02:19 UTC - HackerOne 分析师 elliot 将状态更改为"需要更多信息"
• 2025年7月10日 13:42 UTC - xhacking_z 将状态更改为"新建"
• 2025年7月10日 13:49 UTC - xhacking_z 发表评论
• 2025年7月11日 05:33 UTC - HackerOne 分析师 zenitsu 关闭报告并将状态更改为"信息性"
• 2025年7月22日 14:38 UTC - Mozilla 奖励 xhacking_z 200美元奖金
• 2025年7月22日 18:15 UTC - xhacking_z 发表评论
• 2025年7月22日 18:18 UTC - xhacking_z 发表评论
• 2025年7月23日 07:44 UTC - Mozilla 员工 frida-k 发表评论
• 2025年7月23日 11:55 UTC - xhacking_z 发表评论
• 2025年7月23日 12:39 UTC - Mozilla 员工 frida-k 更改范围
• 2025年7月23日 13:06 UTC - Mozilla 员工 frida-k 重新打开此报告
• 2025年7月23日 13:06 UTC - Mozilla 员工 frida-k 关闭报告并将状态更改为"已解决"
• 2025年8月16日 00:38 UTC - xhacking_z 请求披露此报告
• 2025年8月20日 08:12 UTC - Mozilla 员工 frida-k 取消披露请求
• 2025年9月30日 21:28 UTC - xhacking_z 请求披露此报告
• 2025年9月30日 21:42 UTC - xhacking_z 发表评论
• 2025年10月1日 11:15 UTC - Mozilla 员工 frida-k 取消披露请求
• 2025年10月1日 13:55 UTC - xhacking_z 发表评论
• 2025年10月29日 07:26 UTC - xhacking_z 请求披露此报告
• 15天前 - Mozilla 员工 frida-k 发表评论
• 14天前 - xhacking_z 发表评论
• 10天前 - Mozilla 员工 frida-k 同意披露此报告
• 10天前 - 此报告已被披露
• 10天前 - Mozilla 已锁定此报告

报告详情

• 报告时间：2025年7月9日 19:56 UTC
• 报告者：xhacking_z
• 报告对象：Mozilla
• 报告ID：#3243860
• 状态：已解决
• 严重程度：中等（5.3）
• 披露时间：2025年11月3日 10:34 UTC
• 弱点：敏感信息的明文存储
• CVE ID：无
• 赏金：200美元
• 账户详情：无
  更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
  对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

公众号二维码