Vulnerabilidade fixa em Tutanota
Durante uma de nossas revisões regulares de segurança, encontramos uma vulnerabilidade XSS que agora foi corrigida.
O que aconteceu e que acções tomámos?
A vulnerabilidade foi introduzida enquanto melhorava a aparência de um site intermediário exibido durante o processo de configuração do 3DS em 20 de janeiro. Nós corrigimos a vulnerabilidade imediatamente após a sua identificação em 25 de fevereiro.
A vulnerabilidade permitiu que um atacante criasse um link malicioso que poderia vazar as credenciais de login.
Nenhuma tentativa de explorar a vulnerabilidade é conhecida até à data. Embora a vulnerabilidade tenha sido introduzida em uma página que estava envolvida com pagamentos com cartão de crédito, nenhum dado de pagamento foi exposto.
Preciso de alterar a minha palavra-passe?
A vulnerabilidade encontrada só foi possível de ser explorada porque o processamento do pagamento estava sendo executado sob nosso domínio principal. Devido a isso, a vulnerabilidade tornou possível obter senhas ou autenticações de sessão no navegador.
A vulnerabilidade poderia ter sido explorada sob as seguintes circunstâncias:
- Você recebeu e clicou em um link que começou com https://mail.tutanota.com/braintree.html entre 20 de janeiro e 25 de fevereiro de 2021.
- Caso você tenha armazenado suas credenciais de login Tutanota no navegador, o atacante teria então conseguido acessar sua senha.
- No caso de teres entrado no browser, o atacante teria podido usar a tua autenticação de sessão para aceder à tua caixa de correio até teres saído novamente.
- A vulnerabilidade não poderia ter sido explorada em nenhuma circunstância se você só usasse o Tutanota através de nossos clientes desktop e aplicativos móveis.
Atenção: O encaminhamento automático para o nosso processador de pagamento quando você paga pelo Tutanota nunca representou uma vulnerabilidade.
Se você acredita que alguém possa ter obtido a sua senha, por favor mude a sua senha e atualize o seu código de recuperação, ambos em Configurações -> Login.
É importante também atualizar seu código de recuperação se você acredita que alguém roubou sua senha porque com a senha poderia ter mudado seu código de recuperação para assumir maliciosamente sua conta em um momento posterior.
Passos para evitar problemas semelhantes
Tomamos medidas para evitar problemas semelhantes no futuro:
- Movemos todo o processamento de pagamentos para um subdomínio separado que não tem acesso às credenciais de login salvas.
- Nós proibimos o uso de padrões que estão ligados a ataques similares em nossas diretrizes de codificação.
- Identificamos esta vulnerabilidade durante uma revisão interna de segurança regular. Continuaremos a rever regularmente a nossa base de código completa para questões de segurança.
Revisão de segurança
Terminamos agora a nossa mais recente revisão de segurança de Tutanota. Esta revisão de segurança foi parte do processo de empurrar os clientes desktop da Tutanota para fora do beta.
Durante a revisão, não foram encontrados mais problemas graves. Identificamos alguns problemas menores que estamos agora no processo de correção.