Bitcoin

Niezależny badacz odkrywa usterkę związaną z usterką

Bitcoin Niezależny badacz odkrywa usterkę związaną z usterką

Co robić, gdy dziecko POŁKNĘŁO magnes, baterię, monetę…? /Bombus#6 (Październik 2018).

Anonim

Wczoraj na blogu Authy pojawiła się informacja o zabezpieczeniach. Niezależny analityk bezpieczeństwa z Sakurity znalazł błąd w popularnej aplikacji Authy 2FA. Egor Homakov był odpowiedzialny za wykrycie usterki związanej z formatem Injection, która wpłynęła na usługę Authy za pośrednictwem powszechnie używanej biblioteki typu open source.

Przeczytaj również: Bitcoin Exchange CAVIRTEX Shut's Down po hackowaniu bazy pozostawia dane użytkownika Exposed

W swoich badaniach Egor odkrył, że Authy-node nie kodował tokenów z parametrów użytkowników. Wynikało to z wysokiego poziomu ważności wtrysku w Authy API i "prawdziwym problemem była domyślna zależność Sinatra" ochrona szafy " .

Badacz zaalarmował zespół bezpieczeństwa Authy, który natychmiast przeprowadził dochodzenie i analizę sądową, aby sprawdzić, czy ta luka została wykorzystana, lub czy ktoś skorzystał z tego błędu.

Authy ma na celu uczynienie uwierzytelniania dwuskładnikowego prostym i łatwym dzięki dodaniu dodatkowej warstwy zabezpieczeń do twoich kont za pomocą jednej aplikacji, więc nawet jeśli twoje hasło zostanie naruszone, twoje konto będzie nadal bezpieczne. Ta aplikacja musi być zainstalowana na urządzeniu mobilnym. Uwierzytelnianie dwuskładnikowe to obecnie najlepszy sposób na zabezpieczenie swoich kont; Authy skupia się na ułatwieniu korzystania z 2FA, umożliwiając użytkownikom uzyskanie kodu uwierzytelnienia drugiego stopnia z wielu urządzeń.

Po raz pierwszy firma spotkała się z tego typu problemami. Szybko rozwiązali sprawę z wyjątkową profesjonalną postawą i niezwykłym rozwiązaniem.

Zespół bezpieczeństwa Authy przeprowadził obszerny przegląd swoich dzienników API, aby potwierdzić, że istnieją przesłanki wskazujące, że ta luka została wykorzystana do złamania zabezpieczeń usługi Authy i doszła do wniosku, że nie została ona naruszona w żadnym momencie.

Zespół wysłał wszystkim aktywnym klientom podpisany e-mail z pełnym opisem problemu. Klienci korzystający z zainfekowanych bibliotek stron trzecich zostali powiadomieni, a zespół bezpieczeństwa Authy pracował bezpośrednio z nimi, aby zastosować łatę.

Zespół bezpieczeństwa Authy zadeklarował, że jest gotowy współpracować z zewnętrznymi ekspertami ds. Bezpieczeństwa, twierdząc, że to pomogłoby im zapewnić przejrzystość, zapewniając jednocześnie, że uzyskaliby potrzebne informacje na temat bezpieczeństwa od społeczności w celu szybkiego reagowania na każdą nową lukę.

Zespół Authy Security również powiadomił autora biblioteki, której dotyczy problem, a ostateczny audyt został przeprowadzony z pomocą innych bibliotek stron trzecich i bibliotek pomocniczych społeczności, które szukały tego samego problemu. Egor Homakov pomagał zespołowi Authy, zapewniając czas na rozwiązanie problemu dla wszystkich klientów przed opublikowaniem swoich wyników. Po wykonaniu tej czynności, łatki zostały zastosowane do usługi, a łatki bibliotek pomocniczych społeczności zostały opublikowane na stronie Authy Github.

W końcu zespół Authy podziękował Egorowi za odpowiedzialne ujawnienie swoich badań nad tą luką i dostarczenie im szczegółowych informacji do analizy problemu.To było kluczowe dla zespołu, aby rozwiązać problem i powiadomić swoich klientów.

Link do źródła: 1, 2

Co sądzisz o uwierzytelnianiu na podstawie drugiego czynnika? Daj nam znać w komentarzu poniżej!

Popularne Wiadomości