Se ha corregido una vulnerabilidad en Tutanota

Durante una de nuestras revisiones periódicas de seguridad hemos encontrado una vulnerabilidad XSS que ya ha sido corregida.

El 25 de febrero identificamos una posible vulnerabilidad de Cross-Site Scripting (XSS) en una de nuestras páginas web separadas de nuestro cliente de correo web, de las aplicaciones de escritorio y de las aplicaciones móviles, que se ocupa de procesar la información de pago de nuestro proveedor de pagos Braintree. Inmediatamente publicamos una corrección del lado del servidor para eliminar la vulnerabilidad y actualizamos los clientes con la siguiente versión.


¿Qué ha pasado y qué medidas hemos tomado?

La vulnerabilidad se introdujo al mejorar la apariencia de un sitio intermedio mostrado durante el proceso de configuración de 3DS el 20 de enero. Corregimos la vulnerabilidad inmediatamente después de identificarla, el 25 de febrero.

La vulnerabilidad permitía a un atacante crear un enlace malicioso que podía filtrar las credenciales de inicio de sesión.

Hasta la fecha no se conocen intentos de explotar la vulnerabilidad. Aunque la vulnerabilidad se introdujo en una página relacionada con los pagos con tarjeta de crédito, no se ha expuesto ningún dato de pago.

¿Tengo que cambiar mi contraseña?

La vulnerabilidad encontrada sólo pudo ser explotada porque el procesamiento de pagos se ejecutaba bajo nuestro dominio principal. Por ello, la vulnerabilidad permitía hacerse con las contraseñas o con las autenticaciones de sesión en el navegador.

La vulnerabilidad podría haber sido explotada en las siguientes circunstancias

  • Has recibido y hecho clic en un enlace que empezaba por https://mail.tutanota.com/braintree.html entre el 20 de enero y el 25 de febrero de 2021.
  • En caso de que haya almacenado sus credenciales de inicio de sesión de Tutanota en el navegador, el atacante habría podido acceder a su contraseña.
  • En caso de que haya iniciado la sesión en el navegador, el atacante habría podido utilizar su autenticación de sesión para acceder a su buzón de correo hasta que cerrara la sesión de nuevo.
  • La vulnerabilidad no podría haber sido explotada bajo ninguna circunstancia si sólo utilizas Tutanota a través de nuestros clientes de escritorio y aplicaciones móviles.

Por favor, ten en cuenta que el reenvío automático a nuestro procesador de pagos cuando pagaste por Tutanota nunca supuso una vulnerabilidad.

Si crees que alguien puede haber conseguido tu contraseña, por favor cambia tu contraseña y actualiza tu código de recuperación, ambos en Configuración -> Inicio de sesión.

Es importante que también actualices tu código de recuperación si crees que alguien ha robado tu contraseña, ya que con la contraseña podrían haber cambiado tu código de recuperación para hacerse maliciosamente con tu cuenta en un momento posterior.

Medidas para evitar problemas similares

Hemos tomado medidas para evitar problemas similares en el futuro:

  • Hemos trasladado todo el procesamiento de pagos a un subdominio separado que no tiene acceso a las credenciales de acceso guardadas.
  • Hemos prohibido el uso de patrones vinculados a ataques similares en nuestras directrices de codificación.
  • Identificamos esta vulnerabilidad durante una revisión periódica de seguridad interna. Seguiremos revisando regularmente toda nuestra base de código en busca de problemas de seguridad.

Revisión de seguridad

Ya hemos terminado nuestra última revisión de seguridad de Tutanota. Esta revisión de seguridad formaba parte del proceso de sacar los clientes de escritorio de Tutanota de la versión beta.

Durante la revisión no se encontraron más problemas graves. Hemos identificado un par de problemas menores que estamos arreglando ahora.