Исправлена уязвимость в Тутаноте
Во время одной из наших регулярных проверок безопасности мы обнаружили XSS-уязвимость, которая теперь исправлена.
Что случилось и какие действия мы предприняли?
Уязвимость была введена при улучшении внешнего вида промежуточного сайта, отображаемого во время установки 3DS 20 января. Мы исправили уязвимость сразу же после ее обнаружения 25 февраля.
Уязвимость позволила злоумышленнику создать вредоносную ссылку, по которой могли утечка учетных данных.
На сегодняшний день не известно ни об одной попытке использования уязвимости. Несмотря на то, что уязвимость была представлена на странице, которая была связана с платежами по кредитным картам, никаких платежных данных обнаружено не было.
Нужно ли менять пароль?
Найденная уязвимость могла быть использована только потому, что обработка платежей проходила под нашим основным доменом. Благодаря этому, уязвимость позволила получить пароли или сеансовую аутентификацию в браузере.
Уязвимость могла быть использована при следующих обстоятельствах:
- В период с 20 января по 25 февраля 2021 года Вы получили и перешли по ссылке, которая начиналась с https://mail.tutanota.com/braintree.html.
- В случае сохранения в браузере учетных данных Tutanota, злоумышленник мог бы получить доступ к вашему паролю.
- В случае если вы вошли в браузер, злоумышленник мог бы использовать сеансовую аутентификацию для доступа к вашему почтовому ящику до тех пор, пока вы снова не выйдете из системы.
- Уязвимость не могла быть использована ни при каких обстоятельствах, если вы используете Tutanota только через наши настольные клиенты и мобильные приложения.
Обратите внимание: автоматическая переадресация на наш платежный процессор при оплате за компанию Tutanota никогда не представляла собой уязвимость.
Если вы считаете, что кто-то мог получить ваш пароль, пожалуйста, измените пароль и обновите код восстановления, оба в разделе Настройки -> Логин.
Также важно обновить ваш код восстановления, если вы считаете, что кто-то украл ваш пароль, потому что с помощью этого пароля он мог бы изменить ваш код восстановления, чтобы злоумышленно завладеть вашим аккаунтом в дальнейшем.
Шаги по предотвращению подобных проблем
Мы предприняли шаги для предотвращения подобных проблем в будущем:
- Мы перенесли всю обработку платежей на отдельный субдомен, который не имеет доступа к сохраненным учетным данным.
- В нашем руководстве по кодированию мы запретили использование шаблонов, связанных с похожими атаками.
- Мы выявили эту уязвимость во время регулярных проверок внутренней безопасности. Мы будем продолжать регулярно проверять нашу полную кодовую базу на наличие проблем с безопасностью.
Обзор безопасности
Мы закончили наш последний обзор безопасности Тутаноты. Этот обзор безопасности был частью процесса вытеснения настольных клиентов Тутаноты из бета-версии.
Во время проверки не было обнаружено никаких серьезных проблем. Мы выявили пару мелких проблем, которые сейчас находятся в процессе устранения.