Últimas notícias

Vulnerabilidade fixa em Tutanota

Durante uma de nossas revisões regulares de segurança, encontramos uma vulnerabilidade XSS que agora foi corrigida.

Em 25 de fevereiro identificamos uma possível vulnerabilidade de Cross-Site Scripting (XSS) em uma de nossas páginas separadas para nosso cliente de webmail, desktop e aplicativos móveis, que lida com o processamento de informações de pagamento de nosso provedor de pagamento Braintree. Publicamos imediatamente uma correção do lado do servidor para remover a vulnerabilidade e atualizar os clientes com o próximo lançamento.

O que aconteceu e que acções tomámos?

A vulnerabilidade foi introduzida enquanto melhorava a aparência de um site intermediário exibido durante o processo de configuração do 3DS em 20 de janeiro. Nós corrigimos a vulnerabilidade imediatamente após a sua identificação em 25 de fevereiro.

A vulnerabilidade permitiu que um atacante criasse um link malicioso que poderia vazar as credenciais de login.

Nenhuma tentativa de explorar a vulnerabilidade é conhecida até à data. Embora a vulnerabilidade tenha sido introduzida em uma página que estava envolvida com pagamentos com cartão de crédito, nenhum dado de pagamento foi exposto.

Preciso de alterar a minha palavra-passe?

A vulnerabilidade encontrada só foi possível de ser explorada porque o processamento do pagamento estava sendo executado sob nosso domínio principal. Devido a isso, a vulnerabilidade tornou possível obter senhas ou autenticações de sessão no navegador.

A vulnerabilidade poderia ter sido explorada sob as seguintes circunstâncias:

  • Você recebeu e clicou em um link que começou com https://mail.tutanota.com/braintree.html entre 20 de janeiro e 25 de fevereiro de 2021.
  • Caso você tenha armazenado suas credenciais de login Tutanota no navegador, o atacante teria então conseguido acessar sua senha.
  • No caso de teres entrado no browser, o atacante teria podido usar a tua autenticação de sessão para aceder à tua caixa de correio até teres saído novamente.
  • A vulnerabilidade não poderia ter sido explorada em nenhuma circunstância se você só usasse o Tutanota através de nossos clientes desktop e aplicativos móveis.

Atenção: O encaminhamento automático para o nosso processador de pagamento quando você paga pelo Tutanota nunca representou uma vulnerabilidade.

Se você acredita que alguém possa ter obtido a sua senha, por favor mude a sua senha e atualize o seu código de recuperação, ambos em Configurações -> Login.

É importante também atualizar seu código de recuperação se você acredita que alguém roubou sua senha porque com a senha poderia ter mudado seu código de recuperação para assumir maliciosamente sua conta em um momento posterior.

Passos para evitar problemas semelhantes

Tomamos medidas para evitar problemas semelhantes no futuro:

  • Movemos todo o processamento de pagamentos para um subdomínio separado que não tem acesso às credenciais de login salvas.
  • Nós proibimos o uso de padrões que estão ligados a ataques similares em nossas diretrizes de codificação.
  • Identificamos esta vulnerabilidade durante uma revisão interna de segurança regular. Continuaremos a rever regularmente a nossa base de código completa para questões de segurança.

Revisão de segurança

Terminamos agora a nossa mais recente revisão de segurança de Tutanota. Esta revisão de segurança foi parte do processo de empurrar os clientes desktop da Tutanota para fora do beta.

Durante a revisão, não foram encontrados mais problemas graves. Identificamos alguns problemas menores que estamos agora no processo de correção.