Vulnerabilità risolta in Tutanota

Durante uno dei nostri regolari controlli di sicurezza abbiamo trovato una vulnerabilità XSS che ora è stata corretta.

Il 25 febbraio abbiamo identificato una possibile vulnerabilità Cross-Site Scripting (XSS) su una delle nostre pagine web separate dal nostro client webmail, dalle app desktop e mobile, che si occupa di elaborare le informazioni di pagamento dal nostro fornitore di pagamenti Braintree. Abbiamo immediatamente pubblicato una correzione lato server per rimuovere la vulnerabilità e abbiamo aggiornato i client con la prossima release.


Cosa è successo e quali azioni abbiamo intrapreso?

La vulnerabilità è stata introdotta mentre si migliorava l’aspetto di un sito intermedio visualizzato durante il processo di configurazione del 3DS il 20 gennaio. Abbiamo risolto la vulnerabilità subito dopo averla identificata il 25 febbraio.

La vulnerabilità ha permesso a un utente malintenzionato di creare un link dannoso che potrebbe far trapelare le credenziali di accesso.

Nessun tentativo di sfruttare la vulnerabilità è noto fino ad oggi. Anche se la vulnerabilità è stata introdotta in una pagina che era coinvolta nei pagamenti con carta di credito, nessun dato di pagamento è stato esposto.

Devo cambiare la mia password?

La vulnerabilità riscontrata ha potuto essere sfruttata solo perché l’elaborazione dei pagamenti era in esecuzione sotto il nostro dominio principale. Per questo motivo, la vulnerabilità ha permesso di entrare in possesso delle password o delle autenticazioni di sessione nel browser.

La vulnerabilità poteva essere sfruttata nelle seguenti circostanze:

  • Hai ricevuto e cliccato su un link che iniziava con https://mail.tutanota.com/braintree.html tra il 20 gennaio e il 25 febbraio 2021.
  • Nel caso in cui avete memorizzato le vostre credenziali di accesso a Tutanota nel browser, l’attaccante sarebbe stato in grado di accedere alla vostra password.
  • Nel caso in cui aveste effettuato l’accesso nel browser, l’attaccante sarebbe stato in grado di utilizzare la vostra autenticazione di sessione per accedere alla vostra casella di posta elettronica fino a quando non vi siete disconnessi di nuovo.
  • La vulnerabilità non avrebbe potuto essere sfruttata in nessun caso se si utilizza Tutanota solo tramite i nostri client desktop e le app mobili.

Nota: L’inoltro automatico al nostro processore di pagamento quando hai pagato per Tutanota non ha mai rappresentato una vulnerabilità.

Se credi che qualcuno possa essere entrato in possesso della tua password, per favore cambia la tua password e aggiorna il tuo codice di recupero, entrambi in Impostazioni -> Login.

È importante aggiornare anche il tuo codice di recupero se credi che qualcuno abbia rubato la tua password perché con la password potrebbero aver cambiato il tuo codice di recupero per prendere malignamente il tuo account in un secondo momento.

Misure per prevenire problemi simili

Abbiamo preso provvedimenti per prevenire problemi simili in futuro:

  • Abbiamo spostato tutta l’elaborazione dei pagamenti in un sottodominio separato che non ha accesso alle credenziali di accesso salvate.
  • Abbiamo proibito l’uso di modelli che sono collegati ad attacchi simili nelle nostre linee guida di codifica.
  • Abbiamo identificato questa vulnerabilità durante una regolare revisione della sicurezza interna. Continueremo a rivedere regolarmente tutto il nostro codice base per i problemi di sicurezza.

Revisione della sicurezza

Abbiamo ora terminato la nostra più recente revisione di sicurezza di Tutanota. Questa revisione di sicurezza faceva parte del processo di spinta dei client desktop di Tutanota fuori dalla beta.

Durante la revisione non sono stati trovati ulteriori problemi gravi. Abbiamo identificato un paio di problemi minori che siamo in procinto di risolvere ora.