Vulnerabilidade fixa em Tutanota

Durante uma de nossas revisões regulares de segurança, encontramos uma vulnerabilidade XSS que agora foi corrigida.

Em 25 de fevereiro identificamos uma possível vulnerabilidade de Cross-Site Scripting (XSS) em uma de nossas páginas separadas para nosso cliente de webmail, desktop e aplicativos móveis, que lida com o processamento de informações de pagamento de nosso provedor de pagamento Braintree. Publicamos imediatamente uma correção do lado do servidor para remover a vulnerabilidade e atualizar os clientes com o próximo lançamento.


O que aconteceu e que acções tomámos?

A vulnerabilidade foi introduzida enquanto melhorava a aparência de um site intermediário exibido durante o processo de configuração do 3DS em 20 de janeiro. Nós corrigimos a vulnerabilidade imediatamente após a sua identificação em 25 de fevereiro.

A vulnerabilidade permitiu que um atacante criasse um link malicioso que poderia vazar as credenciais de login.

Nenhuma tentativa de explorar a vulnerabilidade é conhecida até à data. Embora a vulnerabilidade tenha sido introduzida em uma página que estava envolvida com pagamentos com cartão de crédito, nenhum dado de pagamento foi exposto.

Preciso de alterar a minha palavra-passe?

A vulnerabilidade encontrada só foi possível de ser explorada porque o processamento do pagamento estava sendo executado sob nosso domínio principal. Devido a isso, a vulnerabilidade tornou possível obter senhas ou autenticações de sessão no navegador.

A vulnerabilidade poderia ter sido explorada sob as seguintes circunstâncias:

  • Você recebeu e clicou em um link que começou com https://mail.tutanota.com/braintree.html entre 20 de janeiro e 25 de fevereiro de 2021.
  • Caso você tenha armazenado suas credenciais de login Tutanota no navegador, o atacante teria então conseguido acessar sua senha.
  • No caso de teres entrado no browser, o atacante teria podido usar a tua autenticação de sessão para aceder à tua caixa de correio até teres saído novamente.
  • A vulnerabilidade não poderia ter sido explorada em nenhuma circunstância se você só usasse o Tutanota através de nossos clientes desktop e aplicativos móveis.

Atenção: O encaminhamento automático para o nosso processador de pagamento quando você paga pelo Tutanota nunca representou uma vulnerabilidade.

Se você acredita que alguém possa ter obtido a sua senha, por favor mude a sua senha e atualize o seu código de recuperação, ambos em Configurações -> Login.

É importante também atualizar seu código de recuperação se você acredita que alguém roubou sua senha porque com a senha poderia ter mudado seu código de recuperação para assumir maliciosamente sua conta em um momento posterior.

Passos para evitar problemas semelhantes

Tomamos medidas para evitar problemas semelhantes no futuro:

  • Movemos todo o processamento de pagamentos para um subdomínio separado que não tem acesso às credenciais de login salvas.
  • Nós proibimos o uso de padrões que estão ligados a ataques similares em nossas diretrizes de codificação.
  • Identificamos esta vulnerabilidade durante uma revisão interna de segurança regular. Continuaremos a rever regularmente a nossa base de código completa para questões de segurança.

Revisão de segurança

Terminamos agora a nossa mais recente revisão de segurança de Tutanota. Esta revisão de segurança foi parte do processo de empurrar os clientes desktop da Tutanota para fora do beta.

Durante a revisão, não foram encontrados mais problemas graves. Identificamos alguns problemas menores que estamos agora no processo de correção.